Zum Hauptinhalt springen
Sicherheit und Compliance

Wo der Code läuft, wo die Schlüssel liegen und wer was freigegeben hat

Bevor Sie Geschäftsprozesse an AI übergeben, lohnt es sich, diese Fragen vorab zu klären. Diese Seite beantwortet sie Punkt für Punkt, und jeder Punkt entspricht einem in der Plattform bereits umgesetzten Mechanismus.

Code-Schritte laufen in einer Docker-SandboxAnmeldedaten mit AES-256-GCM verschlüsseltOn-Premises-Deployment wird unterstützt
Sechs Verteidigungslinien

Jede Verteidigungslinie entspricht einem umgesetzten Mechanismus

Sechs Karten, jede für einen Aspekt zuständig; die Einträge stammen alle aus der aktuellen Umsetzung des Produkts.

SBXAusführungsisolierung
  • Code-Schritte werden in einer Docker-Sandbox ausgeführt, jeder Lauf ist ein neuer Container
  • Jede Sprache verwendet ein eigenes Ausführungs-Image
  • Der Netzzugang des Containers ist kontrolliert, standardmäßig 30 Sekunden Timeout
AESZugangsdaten-Sicherheit
  • Anmeldedaten werden mit AES-256-GCM verschlüsselt gespeichert
  • Verschlüsselungsschlüssel unterstützen Rotation
  • Claude Pro / ChatGPT können sich per Abo-Login anmelden, ohne einen API Key einzufügen
SSOIdentität und Zugriff
  • 14 OAuth-/OIDC-Anmeldemethoden, einschließlich eigenem OIDC
  • API Keys werden mit 6 minimalen Berechtigungsbereichen ausgestellt
  • Ausführung auslösen, Ergebnisse lesen und Freigaben beantworten können jeweils einen eigenen Key nutzen
GATEFreigabe-Gates
  • Mit manual_approval markierte Schritte pausieren die Ausführung, die Benachrichtigung läuft über die drei Kanäle In-App, E-Mail und API
  • Die Werte in der Freigabeliste lassen sich direkt ändern, etwa das Gebot ändern und dann freigeben
  • Bei Zeitüberschreitung wird automatisch abgelehnt, die Dauer ist konfigurierbar
LOGAudit und Nachverfolgbarkeit
  • Ausführungs-Zeitleiste, Protokoll je Schritt, Token-Verbrauch und Kosten werden pro Lauf protokolliert
  • Der Ausführungsverlauf lässt sich als JSON / YAML exportieren
  • Der Enterprise-Tarif bietet ein Audit-Protokoll
CAPKontingente und Kosten
  • Die Anzahl nebenläufiger Ausführungen ist nach Tarif begrenzt: 1 / 5 / 15 / 50
  • Der Ausführungsverlauf wird nach Tarif aufbewahrt, im Team-Tarif 180 Tage
  • Die Nutzung des AI-Assistenten hat ein Tageslimit, im Pro-Tarif 20 Mal/Tag
Ausführungsisolierung

Code-Schritte in 7 Sprachen laufen sämtlich in der Sandbox

python, javascript, typescript, bash, ruby, lua, cli: Unabhängig von der Sprache werden Code-Schritte in der Produktionsumgebung in einem Docker-Container ausgeführt.

Der Code-Schritt ist der leistungsfähigste Teil eines Workflows und braucht am ehesten Grenzen. Ob das Skript vom AI-Assistenten erzeugt oder von Ihnen selbst geschrieben wurde, bei der Ausführung läuft es in derselben Sandbox.

  • Der Container wird mit der Ausführung erstellt und nach ihrem Ende zerstört
  • Jede Sprache hat ein eigenes Ausführungs-Image, der Netzzugang des Containers ist kontrolliert
  • Workflow-Variablen werden als WF_VAR_*-Umgebungsvariablen injiziert
  • Standardmäßig 30 Sekunden Timeout; Artefakte werden über einen eigenen Kanal exportiert und lassen sich in den Ausführungsdetails herunterladen
sandbox-profileproduction
# per-run sandbox profile (illustrative)
container:
  lifecycle: ephemeral              # create, run, destroy
  image: dedicated-per-language  # 7 runtimes
  network: controlled-egress
  timeout: 30s                     # default
env:
  WF_VAR_*: injected
artifacts:
  export: artifact-channel       # fetch from run detail

Beispielkonfiguration zur Veranschaulichung des Sandbox-Verhaltens, keine reale Datei im Produkt.

Datengrenze

Ihre Anmeldedaten werden nur für die von Ihnen konfigurierten Aufrufe verwendet

In der Cloud nutzen Sie BYOK, der Modell-Traffic geht direkt zu dem von Ihnen gewählten Anbieter; brauchen Sie stärkere Grenzen, deployen Sie die gesamte Plattform in Ihre Umgebung.

Na gutNutzung in der Cloud

LLM-Aufrufe nutzen Ihren eigenen Schlüssel und gehen direkt an den von Ihnen konfigurierten Anbieter; die Plattform protokolliert Token-Verbrauch und Kosten pro Lauf, der Schlüssel wird mit AES-256-GCM verschlüsselt abgelegt.

  • 15+ Anbieter beliebig wählbar, in einem Workflow kann jeder Agent ein anderes Modell nutzen
  • Claude Pro / ChatGPT unterstützen die Anbindung per Abo-Login
  • Lokales Ollama / LM Studio lässt sich anbinden, die Modellaufrufe bleiben auf Ihrer Maschine
SELF-HOSTEDPrivate Bereitstellung

Der Enterprise-Tarif deployt die gesamte Plattform in Ihre Umgebung, die Daten verlassen Ihre Grenze nicht.

  • Workflow-Definitionen, Ausführungsprotokolle und Anmeldedaten liegen sämtlich in Ihrer Infrastruktur
  • Horizontale Mehrinstanz-Skalierung, Prometheus-Metriken binden sich in Ihr bestehendes Monitoring ein
  • SSO und eigenes OIDC binden sich an Ihr Identitätssystem an
GDPR

Datenrechte sind als Produktfunktionen umgesetzt

Export, Löschung und Einwilligungsprotokoll – für alle drei gibt es einen Funktionszugang im Produkt.

EXPORTDatenexport

Exportieren Sie personenbezogene Daten im Produkt selbst, entsprechend dem Recht auf Datenübertragbarkeit.

DELETERecht auf Löschung

Die Löschung des Kontos und der zugehörigen Daten wird im Produkt angestoßen, entsprechend dem Recht auf Vergessenwerden.

CONSENTEinwilligungsprotokolle

Cookie-Einwilligungen und Autorisierungsentscheidungen werden protokolliert und lassen sich auf den Zeitpunkt zurückverfolgen.

Sicherheitsfragen stellen Sie direkt per E-Mail
Konkrete Fragen zu Architektur, Sandbox, Anmeldedaten und Compliance schreiben Sie an admin@braidrun.com; wenn Sie es zunächst selbst überprüfen möchten, spielen Sie nach der Registrierung im Vorlagen-Demomodus einen Workflow durch.