Controlos em camadas para IA com ferramentas. Residência de dados EEA-first.
Obsigen é concebido com controlos em camadas — de encriptação de transporte a sandbox de código.
Conversas, ficheiros, embeddings e logs de auditoria persistem no vosso tenant — a vossa base de dados, o vosso object store, o vosso SIEM, sob as vossas chaves. Nós guardamos apenas configuração do serviço e telemetria operacional. Minimal-retention by design.
Autenticação baseada em JWT com RS256 / ES256 (assimétrico). Chaves de assinatura em KMS / HSM, expiração de sessão configurável.
SSO empresarial via SAML 2.0 e OIDC. Provisioning SCIM para ciclo de vida de utilizadores. MFA forçado para acesso admin.
Cada prompt, chamada de ferramenta, retrieval e decisão de policy é logado em formato SIEM-friendly (JSON / OTLP) — escrito no vosso storage, sob a vossa retenção. EU AI Act Article 12 ready. Nós fornecemos as primitivas de auditoria; vocês têm os dados.
Deteção de prompt-injection e jailbreak, filtros de segurança output e aplicação de policy em operações sensíveis.
Containers efémeros endurecidos com gVisor / Firecracker. Sem egress de rede, timeouts forçados, teardown por run. Sem persistência entre execuções.
| Camada | Controlo |
|---|---|
| Customer-held data | Conversations, files, embeddings & logs persist to your tenant — your DB / object store / SIEM, your keys, your retention. We hold service config and operational telemetry only. |
| Authentication | JWT (RS256 / ES256, asymmetric). Signing keys held in KMS / HSM, configurable session expiry. |
| Identity & SSO | SAML 2.0 / OIDC, SCIM provisioning, MFA enforced for admin access |
| Authorization | RBAC with scoped roles, IDP group mapping |
| Audit logging | Every prompt, tool call, retrieval & policy decision logged in SIEM-friendly format (JSON / OTLP), written to your storage. EU AI Act Article 12 ready. |
| Content safeguards | Prompt-injection & jailbreak detection, output safety filters, policy enforcement on sensitive operations |
| Code execution | Ephemeral containers hardened with gVisor / Firecracker — no network egress, enforced timeouts, per-run teardown. No data persists between executions. |
| File handling | MIME checks, size limits, controlled retention under customer policy |
| Transport | TLS 1.2+ (HTTPS), HSTS enforced |
| CORS | Strict origin policy |
| Rate limiting | Redis-based throttling, per-tenant & per-endpoint |
| Secrets | Vault / KMS-managed, rotation enforced, no keys in code or images |
Obsigen mantém dados persistentes sob o seu controlo, EEA-first.
| Tipo de Dados | Onde Armazenado | Notas |
|---|---|---|
| Chat history | MySQL (EEA) | Full control & retention |
| Sessions / rate limits | Redis (EEA) | Fast + configurable TTL |
| Uploaded files | Temp storage (EEA) | Controlled retention |
| Generated artifacts | Local output (EEA) | PPTX, images, code outputs |
| Inference prompts | Transient (EEA inference) | No PII/secrets forwarded |
A nossa equipa pode fornecer documentação detalhada.