Fiducia, sicurezza e gestione dei dati
Gli strumenti pubblici sono lookup stateless; gli strumenti autenticati elaborano payload transitoriamente con flag di sessione privata e politica no-training. Residenza dati UK/UE su Google Cloud Run (europe-west2). DPA disponibili per Teams. Quello che serve a IT/Legal per validare l'integrazione è sulla pagina sotto.
MCP pubblico, API di riferimento stateless
I 12 strumenti MCP pubblici (principles.list, clusters.list, principles.get, examples.search, guides.get, signals.feedback, ecc.) funzionano esattamente come un'API di documentazione pubblica. Sono lookup di riferimento stateless. Il server riceve solo i parametri di query strutturati che passi, slug, query di ricerca, valori di filtro. Nessun codice proprietario, prompt, contenuto di file o contesto del codebase viene mai trasmesso, ingerito o memorizzato. La frase chiave per la revisione IT/Legal: l'MCP pubblico è read-only e non accetta contesto del codebase proprietario. È sicuro per qualsiasi ambiente aziendale.
MCP Pro/Teams, elaborazione transitoria e no-training
Per i professionisti che usano architect.validate per revisionare codice reale: i payload sono elaborati transitoriamente in memoria per generare il report di validazione e immediatamente scartati. Non addestriamo modelli su codice utente, payload di validazione o diagrammi di architettura. Mai. Il provider LLM sottostante (OpenAI API) opera sotto una politica di no-training sui dati API. Il nostro layer applicativo aggiunge una garanzia: quando passi private_session=true su architect.validate o team.summarize, il server bypassa tutti i log del database per quella chiamata. Nessun record del tuo codice, payload o risultato viene mantenuto sui nostri server.
GDPR, residenza dati e DPA
L'hosting e i dati archiviati di AI Design Blueprint sono su Google Cloud Run in europe-west2 (Londra, UK). Il principale flusso cross-border è il codice e il contesto che invii ad architect.validate / architect.certify, elaborati da OpenAI negli Stati Uniti come sub-processor ai sensi delle EU Standard Contractual Clauses e dell'UK Addendum (no-training, soggetti ai termini di data-retention dell'API OpenAI); AI Design Blueprint non conserva il codice e il contesto in forma grezza. Progettato in linea con i principi di minimizzazione dati del GDPR UK e UE. Per le organizzazioni sul piano Teams forniamo un Data Processing Agreement (DPA) standard su richiesta, contattaci dalla pagina di supporto per avviare. L'MCP pubblico, per design, difficilmente richiede un DPA dal tuo team legale perché non agisce come processor di dati personali: riceve solo ID di query strutturati e restituisce contenuto pubblico della doctrine. Documenta l'integrazione nei tuoi Records of Processing Activities (ROPA) come API di riferimento read-only simile a un endpoint di documentazione pubblica.
Strumenti di segnalazione, solo opt-in esplicito
signals.report è solo Pro/Teams, richiede un Bearer token attivo e viene offerto dall'agente solo dopo il completamento di architect.validate, solo dopo che l'utente conferma il valore della sessione. signals.feedback è aperto a tutti ma chiamato solo quando l'utente lo richiede esplicitamente. Nessuno dei due viene mai chiamato automaticamente o silenziosamente.
Also in this section