Trustcenter

Compliance die je kunt verifiëren, niet alleen claims om te lezen.

Elke garantie op deze pagina is een controle die een auditor kan toetsen.

audit chain · verifysealed
last 4 entriessha-256 linked
019f2a·c41dchat.completion
02c41d·7b03mcp.tool_call
037b03·e18fresidency.block
04e18f·40a6embeddings
chain intact ✓tamper-evident

Data gaat alleen waar je beleid het toestaat. De EU als standaard: afgedwongen, niet beloofd.

Elk verzoek wordt vóór verzending aan je beleid getoetst; voldoet niets, dan wordt het bij de deur geblokkeerd. De EU als standaard. Directe routering naar de VS en China is alleen beschikbaar wanneer je het toevoegt, elke bestemming openbaar gemaakt. Niets stroomt stilletjes weg.

  • Soevereine EU: EU-eigendom, in de EU gehost

    Mistral en Scaleway zijn Franse bedrijven op Franse infrastructuur. Geen enkel toegangsregime van een buitenlandse overheid reikt tot hen. Dit is de standaardlaag, de enige die actief is totdat je het wijzigt.

  • VS of China direct: beschikbaar, opt-in, nooit verborgen

    Directe providers uit de VS en China zijn vandaag beschikbaar. Ze routeren alleen wanneer je beleid het toestaat, elk gemarkeerd op jurisdictie en CLOUD Act-blootstelling, en pseudonimisering houdt PII en secrets van de lijn. De EU verlaten blijft jouw beslissing.

  • Je eigen endpoints, of je eigen ijzer

    Sluit een privaat of self-hosted model aan: hetzelfde beleid, hetzelfde grootboek. Of draai het hele datavlak zelf met Sluis Edge, zodat prompts Sluis nooit passeren.

residency.map · egress: your policyenforced
POLICYAmsterdam · NLParis · FRFrankfurt DE · US-ownedUS East · allowedCN · not in policy
EU-owned · sovereign (default)EU region · US-owned (CLOUD Act)non-EU · allowed by policynon-EU · not in policy

Precies wat we bewaren, precies wat we wissen.

Een verzoek tot gegevenswissing dat je bewijs vernietigt is geen compliance; het is een risico. Sluis trekt de grens precies: de content verdwijnt, het bewijs dat de content correct is behandeld blijft.

compliance erase --tenant <id>chain still verifies
Gewist: art. 17 AVG
  • Content van verzoeken en antwoorden: de prompts en completions die onder opt-in-retentie zijn bewaard.
  • Cache-items: de exacte en semantische cacherijen van de tenant.
  • Provider-credentials: opgeslagen upstream-API-keys, nergens ontsleuteld.
  • Contentreferenties: elke content_ref-pointer wordt genuld.
Bewaard: onveranderlijk bewijs
  • De auditmetadata-keten: audit_log + chain_heads blijven intact, dus verify-chain blijft slagen.
  • Hashes, geen content: de SHA-256-schakels blijven; de inhoud die ze dekten is weg.
  • Routeringsbeslissingen: welke regio en provider elke call hebben bediend.
  • Token- & kostenmetadata: het micro-euro-grootboek in echt geld waar je budgetten op steunen.

Retentie-TTL-purge

Bewaarde content en cacherijen dragen een vervaldatum. Een geplande purge verwijdert alleen de rijen voorbij hun TTL: een cron-baar job, geen handmatige schoonmaak.

Contentretentie is opt-in

Standaard legt Sluis de metadata vast, niet het bericht. Het opslaan van prompt- en antwoordteksten is een keuze per tenant, uit totdat je het aanzet.

AEAD-versleuteld at rest

Alle bewaarde content, en de volledige response-cache (exact + semantisch), is verzegeld met geauthenticeerde encryptie. Geen contentsleutel, geen cache: de gateway valt terug op no-cache.

Strikte isolatie per tenant

Keys, beleid, auditketens en cache zijn begrensd tot één tenant, afgeleid van de key van het verzoek en afgedwongen op het hot path. De ene tenant kan nooit de data of het grootboek van een andere lezen.

Geef de auditor de keten. Die kan hem controleren zonder ons te vertrouwen.

Elke call wordt via hash aan de vorige geketend. Wijzig één veld en elke schakel erna breekt. Exporteer het als JSON Lines en verifieer het offline opnieuw: het bewijs reist met de data mee.

audit.chain · last 4 entrieschain verified
14:22:07.118Z#4f9c2a e1b7d9 · scaleway-fr · PHI · maskedin-region
14:22:05.904Z#e1b7d9 7a3f10 · mistral-fr · PIIin-region
14:22:04.661Z#7a3f10 0c55ab · vertex-eu · generalfallback
14:22:02.330Z#0c55ab genesis · scaleway-fr · generalin-region

$ sluis audit verify-chain --tenant <id> → ok · 1,284,901 entries · genesis intact

De volledige lijst. Regio en eigendom, gewoon benoemd.

Dit zijn de enige derde partijen die ooit een verzoek kunnen aanraken, en alleen wanneer je beleid naar ze routeert. We noemen de juridische eigenaar naast de hostingregio, want onder de CLOUD Act zijn dat niet dezelfde vraag.

ProviderHostingregioJuridisch eigenaarBlootstelling
MistralParis · FREU (France)sovereign
ScalewayParis · FREU (France)sovereign
Google VertexEU multiregionUS (Google)CLOUD Act
AWS BedrockEU regionUS (Amazon)CLOUD Act
De openbaarmaking per tenant is op verzoek exporteerbaar: compliance subprocessors --tenant <id> retourneert alleen de providers die je keys en je beleid daadwerkelijk inschakelen.

Gevoelige data wordt onderschept voordat die een model bereikt.

De eerste deur haalt 60 deterministische detectoren over elk verzoek, op zoek naar PII, medische gegevens en secrets, en labelt het voordat er ook maar één token verder stroomt. Ze zijn gebouwd voor Europese data: een pakket nationale ID's dat 12 landen via een checksum valideert (het Nederlandse BSN, PESEL, codice fiscale en meer), IBAN-controlegetallen, E.164-telefoonnummers. Geen op de VS gerichte bijzaak.

EU-PII-detectoren
e-mailtelefoon E.164IBAN · mod-97BSN · 11-proefPL PESELIT codice fiscalecreditcard · Luhn
Secret-detectoren
API-keysAWS-toegangssleutelsPEM-privésleutels
Detectie van persoonsnamen

Namen verslaan patroonherkenning, dus naamdetectie bestaat uit vier lagen die je bewust aanzet, elk een afweging tussen false positives en latency die je zelf in de hand hebt: contextheuristieken, e-mailcorrelatie, een naamdirectory per tenant en Sluis' eigen meertalige herkenningsmodel. Dat model wordt meegeleverd en draait binnen je deployment, zodat een naam nooit naar een derde partij wordt gestuurd om gescand te worden.

dlp.mode · per tenantrequest-side
mask
Herschrijft de gevonden tekstdelen ter plekke en stuurt het geredigeerde verzoek daarna door naar upstream.
mode
block
Weigert de call bij de deur (422, er vertrekt niets) wanneer een klasse niet is toegestaan.
mode
allow-log
Laat het verzoek door, maar noteert de detectie in het auditspoor voor latere beoordeling.
mode
pseudonymize
Vervangt elke gevonden waarde vóór verzending door een omkeerbaar token en herstelt de echte waarden in het antwoord. Het model ziet nooit een naam, nummer of geheim.
mode
Omkeerbare pseudonimisering

Werk met persoonsgegevens en secrets. Het model ziet ze nooit.

Een controle die je auditor kan verifiëren: PII en secrets worden stabiele tokens voordat de prompt je netwerk verlaat, zodat de provider alleen tokens ziet. De echte waarden worden op de terugweg hersteld, en de toewijzing die ze koppelt wordt nooit naar schijf geschreven.

your appSluisgatejohn@acme.com«EMAIL_1»«EMAIL_1»masks PIImodel«EMAIL_1»«EMAIL_1»only sees tokenSluisgate«EMAIL_1»john@acme.comjohn@acme.comrestoresyour app

Neem je auditors mee. Wij brengen de keten mee.

Residency afgedwongen bij elk verzoek, content die je kunt wissen zonder het bewijs te verliezen, en een grootboek dat iedereen offline kan controleren. De controles zijn echt. Kom ze testen.

Gereguleerde koper? Vraag naar Sluis Edge →