Trust center

Una conformità che puoi verificare, non solo dichiarazioni da leggere.

Ogni garanzia in questa pagina corrisponde a un controllo che un auditor può verificare.

audit chain · verifysealed
last 4 entriessha-256 linked
019f2a·c41dchat.completion
02c41d·7b03mcp.tool_call
037b03·e18fresidency.block
04e18f·40a6embeddings
chain intact ✓tamper-evident

I dati vanno solo dove la tua policy lo consente. UE di default: applicata, non promessa.

Ogni richiesta è confrontata con la tua policy prima dell'invio; se nulla è idoneo, viene bloccata alla porta. UE di default. Il routing diretto verso USA e Cina è disponibile solo quando lo aggiungi, ogni destinazione dichiarata. Nulla esce in silenzio.

  • UE sovrana: proprietà e hosting nell'UE

    Mistral e Scaleway sono aziende francesi su infrastruttura francese. Nessun regime di accesso di un governo straniero le raggiunge. Questo è il livello di default, l'unico attivo finché non lo cambi.

  • USA o Cina diretti: disponibili, opt-in, mai nascosti

    I provider diretti statunitensi e cinesi sono disponibili oggi. Instradano solo se la tua policy lo consente, ciascuno segnalato per giurisdizione ed esposizione al CLOUD Act, e la pseudonimizzazione tiene PII e segreti fuori dal filo. Lasciare l'UE resta una tua decisione.

  • I tuoi endpoint, o il tuo ferro

    Collega un modello privato o self-hosted: stessa policy, stesso registro. Oppure esegui tu stesso l'intero data plane con Sluis Edge, così i prompt non transitano mai da Sluis.

residency.map · egress: your policyenforced
POLICYAmsterdam · NLParis · FRFrankfurt DE · US-ownedUS East · allowedCN · not in policy
EU-owned · sovereign (default)EU region · US-owned (CLOUD Act)non-EU · allowed by policynon-EU · not in policy

Esattamente cosa conserviamo, esattamente cosa cancelliamo.

Una richiesta di cancellazione che distrugge le tue evidenze non è conformità; è un rischio. Sluis traccia il confine con precisione: il contenuto se ne va, la prova che il contenuto è stato gestito correttamente resta.

compliance erase --tenant <id>chain still verifies
Eliminato: art. 17 GDPR
  • Contenuto di richieste e risposte: i prompt e le completion conservati con la retention opt-in.
  • Voci di cache: le righe di cache esatta e semantica del tenant.
  • Credenziali dei provider: le chiavi API upstream memorizzate, decifrate da nessuna parte.
  • Riferimenti al contenuto: ogni puntatore content_ref viene azzerato a null.
Conservato: prova immutabile
  • La catena dei metadati di audit: audit_log + chain_heads restano intatti, quindi verify-chain continua a passare.
  • Hash, non contenuti: i collegamenti SHA-256 restano; i corpi che coprivano non ci sono più.
  • Decisioni di routing: quale regione e quale provider hanno servito ogni chiamata.
  • Metadati di token e costi: il registro in micro-euro reali che sostiene i tuoi budget.

Purge per TTL di retention

Il contenuto conservato e le righe di cache hanno una scadenza. Una purge pianificata elimina solo le righe oltre il loro TTL: un job schedulabile via cron, non una pulizia manuale.

La retention dei contenuti è opt-in

Di default Sluis registra i metadati, non il messaggio. Memorizzare i corpi di prompt e risposte è una scelta per tenant, spenta finché non la attivi.

Cifratura AEAD at rest

Ogni contenuto conservato, e l'intera cache delle risposte (esatta + semantica), è sigillato con cifratura autenticata. Niente chiave dei contenuti, niente cache: il gateway ripiega su no-cache.

Isolamento rigoroso per tenant

Chiavi, policy, catene di audit e cache sono confinate a un singolo tenant, derivato dalla chiave della richiesta e applicato sull'hot path. Un tenant non può mai leggere i dati o il registro di un altro.

Consegna la catena all'auditor. Può verificarla senza fidarsi di noi.

Ogni chiamata è concatenata via hash alla precedente. Altera un solo campo e ogni anello successivo si spezza. Esportalo come JSON Lines e riverificalo offline: la prova viaggia con i dati.

audit.chain · last 4 entrieschain verified
14:22:07.118Z#4f9c2a e1b7d9 · scaleway-fr · PHI · maskedin-region
14:22:05.904Z#e1b7d9 7a3f10 · mistral-fr · PIIin-region
14:22:04.661Z#7a3f10 0c55ab · vertex-eu · generalfallback
14:22:02.330Z#0c55ab genesis · scaleway-fr · generalin-region

$ sluis audit verify-chain --tenant <id> → ok · 1,284,901 entries · genesis intact

La lista completa. Regione e proprietà, dichiarate senza giri di parole.

Questi sono gli unici terzi che possono mai toccare una richiesta, e solo quando la tua policy instrada verso di loro. Indichiamo il proprietario legale accanto alla regione di hosting, perché sotto il CLOUD Act non sono la stessa domanda.

ProviderRegione di hostingProprietario legaleEsposizione
MistralParis · FREU (France)sovereign
ScalewayParis · FREU (France)sovereign
Google VertexEU multiregionUS (Google)CLOUD Act
AWS BedrockEU regionUS (Amazon)CLOUD Act
La disclosure per tenant è esportabile su richiesta: compliance subprocessors --tenant <id> restituisce solo i provider che le tue chiavi e la tua policy abilitano davvero.

I dati sensibili vengono intercettati prima che raggiungano un modello.

La prima porta passa 60 rilevatori deterministici su ogni richiesta, in cerca di PII, dati sanitari e segreti, e la etichetta prima che un singolo token prosegua a valle. Sono costruiti per i dati europei: un pacchetto di identificativi nazionali che convalida tramite checksum 12 paesi (il BSN olandese, il PESEL, il codice fiscale e altri), cifre di controllo IBAN, numeri di telefono E.164. Non un ripensamento centrato sugli USA.

Rilevatori di PII europee
e-mailtelefono E.164IBAN · mod-97BSN NL · 11-proefPL PESELIT codice fiscalecarta di credito · Luhn
Rilevatori di segreti
chiavi APIchiavi di accesso AWSchiavi private PEM
Rilevamento dei nomi di persona

I nomi mettono in scacco il pattern matching, quindi il rilevamento dei nomi è fatto di quattro livelli che attivi di proposito, ciascuno un compromesso tra falsi positivi e latenza che governi tu: euristiche di contesto, correlazione delle email, una rubrica di nomi per tenant e il modello di riconoscimento multilingue di Sluis. Quel modello è incluso e gira dentro il tuo deployment, così un nome non viene mai inviato a terzi per essere analizzato.

dlp.mode · per tenantrequest-side
mask
Riscrive sul posto i segmenti rilevati, poi inoltra a monte la richiesta oscurata.
mode
block
Rifiuta la chiamata alla porta (422, nulla esce) quando una classe non è consentita.
mode
allow-log
Lascia passare la richiesta, ma annota il rilevamento nella traccia di audit per una revisione successiva.
mode
pseudonymize
Sostituisce ogni valore rilevato con un token reversibile prima dell'invio, poi ripristina i valori reali nella risposta. Il modello non vede mai un nome, un numero o un segreto.
mode
Pseudonimizzazione reversibile

Lavora con dati personali e segreti. Il modello non li vede mai.

Un controllo che il tuo auditor può verificare: PII e segreti diventano token stabili prima che il prompt lasci la tua rete, così il provider vede solo token. I valori reali vengono ripristinati al ritorno, e la mappa che li collega non viene mai scritta su disco.

your appSluisgatejohn@acme.com«EMAIL_1»«EMAIL_1»masks PIImodel«EMAIL_1»«EMAIL_1»only sees tokenSluisgate«EMAIL_1»john@acme.comjohn@acme.comrestoresyour app

Porta i tuoi auditor. Alla catena pensiamo noi.

Residenza applicata a ogni richiesta, contenuti che puoi cancellare senza perdere la prova e un registro che chiunque può controllare offline. I controlli sono reali. Vieni a metterli alla prova.

Sei un acquirente regolamentato? Chiedi di Sluis Edge →