Home | Blog | Guide

Keamanan Sugarbug: Data Anda Tetap Milik Anda

Keamanan Sugarbug: scraping ruang pengguna, standar medis, tanpa lock-in, tanpa pelatihan model pada data Anda. Untuk perusahaan dan layanan kesehatan.

By Ellis Keane · 2026-04-17

Ada lelucon yang beredar di industri kami bahwa cara terbaik untuk mendapatkan AI gratis adalah menjadi data pelatihan itu sendiri. Setiap generasi platform telah menemukan cara memonetisasi pekerjaan Anda sedikit lebih cepat – dan sedikit lebih licik – dari yang sebelumnya, dan entah bagaimana kita semua sepakat menyebut itu "masa depan." (Saya diberitahu bahwa ini juga disebut kemajuan.) Sugarbug dibangun berdasarkan prinsip yang berlawanan, dan artikel ini adalah tur dalam bahasa sederhana tentang keamanan Sugarbug: apa yang kami janjikan, apa yang sudah ada dalam kode, apa yang hadir saat peluncuran produksi, dan mengapa kami memegang standar yang lebih tinggi dari apa pun yang diharuskan oleh regulator.

Kami berada di tengah alur kerja paling sensitif perusahaan Anda. Utas Slack yang tim Anda kira tidak akan pernah dibaca lagi. Perdebatan PR di mana seseorang kalah argumen pada 2023 dan masih belum memaafkan peninjau. Komentar Figma dan ulasan desain, tiket Linear, undangan kalender, transkrip rapat – semuanya. Satu-satunya standar yang jujur untuk mengelola jenis data tersebut adalah standar setara medis: seketat rumah sakit dengan catatan pasien terhadap diri kami sendiri, dan lebih ketat terhadap rekayasa kami sendiri daripada yang diharuskan oleh regulasi mana pun. Apa pun yang lebih longgar adalah taruhan bahwa tidak ada yang pernah memeriksa – dan bertaruh bahwa tidak akan diperiksa adalah rencana jangka panjang yang buruk sekali.

Apa yang Dapat Dilihat Sugarbug (dan Apa yang Tidak)

Sugarbug beroperasi di ruang pengguna. Ia melakukan scraping dengan izin Anda, membaca dari akun Anda, dan melihat persis apa yang Anda lihat – tidak lebih, tidak kurang. Satu sifat arsitektur (yang terdengar membosankan pertama kali Anda mendengarnya, dan sangat kritis kedua kalinya) memiliki konsekuensi yang sangat mendalam terhadap cara data Anda diperlakukan.

Administrator tidak dapat membaca pesan pribadi Anda. Di sebagian besar produk tempat kerja, ketika Anda meninggalkan perusahaan, akun lama Anda menjadi arsip pemberi kerja. Mereka dapat membuka ulang kotak masuk Anda, menggulir DM Slack yang Anda pikir bersifat pribadi, dan membaca email yang Anda kirim bertahun-tahun lalu. Sugarbug menutup pintu itu sebelum terbuka. Administrator organisasi hanya dapat melihat apa yang sudah dapat dilihat organisasi tanpa Sugarbug – saluran publik, dokumen bersama, kalender grup. Konektor pribadi Anda hanya milik Anda, titik.

Bergabung dengan organisasi bersifat instan. Anggota baru mendapatkan satu sumber agregat yang telah diproses sebelumnya yang menggabungkan semua yang biasanya dilihat anggota – saluran Slack publik, catatan rapat grup, dokumen Notion bersama, tiket Linear, perubahan Figma, PR publik – yang telah deduplikasi dan sudah diindeks oleh grafik pengetahuan gabungan organisasi. Anda bergabung dan segera memiliki konteks bersama tim, tanpa harus menanggung biaya untuk memuat ulang apa yang sudah diproses rekan-rekan Anda.

Meninggalkan organisasi bersifat bersih. Ketika Anda memutuskan sambungan, Anda kehilangan akses ke sumber agregat organisasi dan sinyalnya – tidak lebih dari itu. Konektor pribadi Anda tetap milik Anda. Riwayat, catatan, dan grafik pengetahuan pribadi Anda semua ikut bersama Anda ke tempat berikutnya.

Scraping ruang pengguna adalah keputusan yang menopang segalanya. Itulah yang membuat pesan pribadi tetap pribadi, yang menjaga grafik portabel tetap portabel, dan yang mengubah "data Anda adalah milik Anda" dari sekadar tagline pemasaran menjadi sifat sistem.

Model Jurnal

Bayangkan bagaimana seseorang mungkin menyimpan buku catatan pribadi sepanjang karier. Tahun demi tahun terisi dengan orang-orang yang mereka temui, apa yang mereka pikirkan, bagaimana suatu momen mempengaruhi mereka, apa yang mereka pelajari dari minggu yang berat. Jurnal itu milik orang yang menulisnya. Itu juga yang membuat mereka menjadi rekan yang lebih tajam, lebih bijaksana, dan lebih berharga.

Sugarbug adalah jurnal itu yang dikembangkan menjadi grafik pengetahuan kerja penuh: konteks pribadi Anda (DM, catatan, percakapan satu-satu) dan konteks bersama organisasi (utas Slack di saluran publik, tiket Linear, dokumen bersama) dirangkai menjadi satu sistem pribadi tanpa mengaburkan batas di antara keduanya. Pribadi bagi individu, bermanfaat bagi tim ketika individu memilih untuk berbagi, dan portabel ketika orang tersebut berpindah.

Karena yang pribadi dan publik diindeks bersama, alih-alih berada di alat yang terpisah, bekerja secara publik menjadi cara paling efisien untuk beroperasi (klaim yang lebih besar dari yang terdengar, bagi siapa saja yang pernah menghabiskan seminggu mengerjakan pembaruan status). Anda melakukan pekerjaan, konteks bersama memperbarui dirinya sendiri, dan model jurnal pribadi tetap pribadi.

Sugarbug adalah jurnal itu yang dikembangkan menjadi grafik pengetahuan kerja penuh, tanpa mengaburkan garis antara apa yang milik Anda dan apa yang dibagikan.

Yang Tersedia Hari Ini

Ini bukan item peta jalan. Ini adalah bagian dari keamanan Sugarbug yang sudah ada dalam kode, berjalan di CI, dan berada di balik setiap komit yang dikirimkan.

Masuk tanpa kata sandi. Autentikasi hanya menggunakan OAuth di lima penyedia identitas. Tidak ada kata sandi untuk di-phish, dibocorkan, atau digunakan ulang.
Terenkripsi di mana-mana. Muatan sensitif saat tidak digunakan menggunakan AES-256-GCM terotentikasi; koneksi menggunakan TLS 1.3 dengan HSTS preload di setiap titik akhir publik.
Isolasi penyewa di setiap lapisan. Setiap kueri dan setiap pencarian vektor dibatasi pada pemanggil, dan kebocoran lintas penyewa diuji oleh pengujian otomatis di setiap jalannya CI.
Tindakan administratif terlihat. Log audit tahan perusakan mencakup peniruan identitas, perubahan akun, dan penghapusan data. Jika insinyur Sugarbug pernah perlu masuk ke akun Anda untuk permintaan dukungan, log menunjukkan persis siapa, kapan, dan mengapa.
Keamanan adalah bagian dari jalur pembuatan. Otomasi khusus memindai setiap komit untuk mencari rahasia yang bocor, dependensi yang rentan, dan regresi kualitas kode. Perubahan yang gagal pemeriksaan tersebut tidak pernah dikirimkan.
Penerapan aman. Peluncuran biru-hijau dengan pemeriksaan kesehatan kembali secara otomatis jika ada yang salah, sebelum pengguna Anda menyadarinya.
Saluran terotentikasi di mana-mana. Klien desktop, agen lokal yang berjalan di sampingnya, dan server kami berkomunikasi melalui saluran yang terotentikasi dan terenkripsi. Tidak ada lalu lintas teks biasa, selamanya.

Yang Ditambahkan oleh Peluncuran

Daftar "yang tersedia hari ini" adalah fondasi. Peluncuran produksi adalah tempat kami menambahkan kontrol yang disebut pembeli besar sebagai "persyaratan dasar" setelah memintanya melalui spreadsheet 14 tab, dan yang secara pribadi kami inginkan sebelum hal yang benar-benar sensitif berada di balik API. Baca semua di bawah ini sebagai komitmen peluncuran yang teguh untuk setiap pengguna – bukan daftar keinginan atau terkunci di balik kesepakatan enterprise.

Kunci enkripsi yang dikelola pelanggan. Sistem manajemen kunci Anda menyimpan kuncinya. Operator Sugarbug tidak dapat mendekripsi data Anda, bahkan dengan akses server penuh – yang paling mendekati zero-knowledge yang dapat dicapai produk intelijen alur kerja secara jujur.
Bawa LLM Anda sendiri. Arahkan pengayaan melalui penyedia pilihan Anda – OpenAI, Anthropic, Google, atau model sumber terbuka yang di-hosting sendiri. Pilihan Anda, tagihan Anda, hubungan pemrosesan data Anda. Untuk tim yang membutuhkannya, pengayaan dapat berjalan sepenuhnya pada model yang di-hosting sendiri, dari ujung ke ujung.
PII dihapus sebelum setiap panggilan LLM. Model mana pun yang Anda tuju – milik kami, milik Anda, cloud, hibrida, sepenuhnya lokal – setiap muatan pengayaan memiliki nama, email, nomor telepon, alamat, kunci, dan pengenal yang diganti dengan token yang dapat dibalik sebelum mencapai model. LLM melihat bentuk data Anda, bukan orang-orang di dalamnya. Sugarbug menyelesaikan token saat penerimaan sehingga keluaran tiba dengan konteks yang tepat terlampir.
Penyimpanan kredensial yang didukung Keychain di klien desktop. Token integrasi Anda tinggal di tempat hanya sistem operasi Anda yang dapat menjangkaunya.
Biner aplikasi yang ditandatangani dan dinotarisasi dengan pembaruan otomatis yang diverifikasi tanda tangan. Anda dapat memverifikasi bahwa Sugarbug yang Anda jalankan adalah Sugarbug yang kami kirimkan.
Pencatatan terstruktur tingkat kepatuhan dengan jendela retensi yang ditentukan untuk setiap kelas peristiwa.
Redundansi multi-wilayah dengan pemulihan titik waktu otomatis.

Ke Mana Kami Menuju

Peluncuran produksi bukan keadaan akhir. Cakrawala kami di luar itu adalah Sugarbug yang dapat dijalankan oleh pengguna mana pun – bukan hanya perusahaan dengan infrastruktur khusus – sepenuhnya di mesin mereka sendiri. Model Anda, penyimpanan Anda, grafik pengetahuan Anda, menyinkronkan hanya yang perlu disinkronkan. Intelijen alur kerja di bawah atap Anda sendiri, dengan tidak ada di server kami kecuali Anda memilih untuk menaruhnya di sana – Anda dapat bolak-balik sesuai keinginan. Arsitektur sedang dibangun dengan tujuan itu dalam pandangan, dan setiap keputusan yang kami buat antara sekarang dan peluncuran diperiksa terhadapnya.

(Jika itu terdengar ambisius, bagus. Industri yang diam-diam mengirimkan data Anda ke set pelatihan selama satu dekade layak mendapatkan proposal tandingan komersial yang ambisius.)

Retensi Ada di Tangan Anda

Sugarbug mencerminkan kebijakan retensi sistem sumber Anda. Jika Slack Anda menyimpan pesan selama 90 hari, salinan Sugarbug menghilang pada jadwal yang sama – di setiap permukaan, termasuk tugas, ringkasan orang, persiapan rapat, dan pencarian vektor. Anda menetapkan jendela sekali; kami menghormatinya di mana-mana.

Ketika Anda menghapus akun Anda, kami menghapus semuanya, termasuk penyematan vektor.

Tidak Ada Kunci di Pintu

Kami tidak ingin mengunci Anda. Kami ingin Anda tetap tinggal karena Sugarbug sungguh-sungguh pengalaman terbaik dan membuat Anda dan tim Anda lebih tajam dari alternatif mana pun – bukan karena pergi itu sulit. Itulah mengapa Anda dapat menarik data Anda kapan saja, tanpa percakapan dengan penjualan dan tanpa tim retensi yang berdiri di antara Anda dan tombol ekspor. Setiap tugas, setiap orang, setiap rapat dikirim dalam format portabel, siap untuk masuk ke apa pun yang datang berikutnya.

Coba opsi lain. Tantang kami. Tekanan itu adalah bagian dari cara kami menjadi lebih baik, dan membuat kehidupan kerja Anda lebih mudah adalah seluruh tujuannya.

Dibangun Berlebihan untuk Perusahaan

Organisasi besar yang diatur memiliki tinjauan pengadaan yang berlangsung berbulan-bulan dan daftar periksa yang memuat ratusan pertanyaan. (Jika Anda pernah menjawab SIG Lite pada pukul 23 malam sebelum kesepakatan ditutup, saya berutang minuman kepada Anda.) Kisah keamanan Sugarbug dirancang untuk melewatinya pada percobaan pertama. Jika Anda pernah mencoba melewati salah satu dari ini pada tengah malam, setengah berkafein, diam-diam bernegosiasi dengan alam semesta untuk spreadsheet yang lebih kecil, Anda sudah mengenal bagian ini dari luar kepala – produk dibangun sehingga Anda tidak harus berteori tentang apa pun darinya.

Identitas dan akses. SSO SAML 2.0 dengan Okta, Azure AD, Ping, Google Workspace, dan JumpCloud. Penyediaan dan pencabutan penyediaan SCIM 2.0 untuk offboarding otomatis saat HRIS Anda menandai karyawan sebagai dihentikan. Kebijakan MFA yang diberlakukan organisasi, batas waktu sesi yang dapat dikonfigurasi, dan daftar izin IP di tingkat organisasi.

Batas data yang dapat Anda verifikasi.

Data Anda tidak melatih model. Bukan model kami, bukan penyedia kami, bukan siapa pun. Ini adalah komitmen arsitektur, bukan baris dalam kontrak – kami mengamankan Zero Data Retention dengan setiap penyedia LLM yang kami lewati untuk sinyal, dan pelanggan yang membutuhkan jaminan lebih kuat dapat memilih pengayaan lokal di mana tidak ada data mentah yang meninggalkan perimeter mereka.
Residensi data regional di AS, UE, dan Inggris. Data Anda secara fisik tetap berada di wilayah yang Anda pilih. Tidak ada salinan lintas batas, tidak ada "sebagian besar tetap di sana".
Daftar subprosesor yang diterbitkan dengan pemberitahuan awal ketika berubah dan jendela bagi Anda untuk mengajukan keberatan sebelum perubahan berlaku.
DPA yang ditandatangani sebelumnya dengan Klausul Kontrak Standar untuk transfer lintas batas, dan Penilaian Dampak Transfer yang siap untuk tim hukum Anda.

Jaringan dan operasi.

Jaringan pribadi melalui AWS PrivateLink, Azure Private Endpoints, dan GCP Private Service Connect. Untuk pelanggan yang memerlukannya, lalu lintas antara jaringan Anda dan Sugarbug tidak pernah menyentuh internet publik.
Streaming log audit ke Splunk, Datadog, Microsoft Sentinel, atau Chronicle. SOC Anda melihat peristiwa yang sama seperti kami.
Dukungan penahanan hukum dan eDiscovery untuk data dalam sengketa hukum, termasuk penangguhan retensi dan ekspor yang dibatasi cakupannya.
Infrastruktur penyewa tunggal khusus tersedia untuk penerapan dengan sensitivitas tertinggi.
Pemberitahuan pelanggaran kontraktual dalam 24 jam – jauh di dalam batas 72 jam GDPR.
Target RTO dan RPO yang diterbitkan yang didukung oleh rencana pemulihan bencana yang terdokumentasi dan cadangan lintas wilayah.
Staf yang telah diverifikasi latar belakangnya dengan akses produksi, pelatihan keamanan tahunan, dan tinjauan akses kuartalan.

Verifikasi sesuai ketentuan Anda.

Uji penetrasi tahunan oleh pihak ketiga oleh perusahaan yang diakui. Ringkasan eksekutif bersifat publik; laporan lengkap tersedia di bawah NDA.
Program bug bounty publik.
Pusat kepercayaan di satu URL: laporan SOC 2, sertifikat ISO/IEC 27001, ringkasan uji penetrasi, daftar subprosesor, templat DPA, halaman status keamanan, dan surat jembatan audit terbaru.
Respons SIG Lite, CAIQ, dan VSA-Full yang telah diisi siap untuk tim pengadaan Anda.

Dibangun Berlebihan untuk Layanan Kesehatan

Rumah sakit dan sistem kesehatan menanggung jenis risiko yang berbeda dari perusahaan rata-rata. Dalam SaaS biasa, pelanggaran adalah insiden; dalam pengaturan klinis, pelanggaran dapat berakhir di antara masalah pengiriman layanan dan investigasi federal, dan kesenjangan antara kedua hasil itu bukan sesuatu yang ingin kami tempati. Sugarbug dibangun dengan mengingat perbedaan tersebut. Komitmen di bawah ini tidak dikunci di balik tingkat harga terbesar, karena "BAA hanya di enterprise" selalu menjadi langkah yang diam-diam sinis di industri ini.

Perjanjian Mitra Bisnis tersedia di setiap tingkat berbayar, ditandatangani sebelum Informasi Kesehatan Terlindungi mengalir melalui akun Anda. Tidak ada penguncian eksklusif tingkat enterprise.
Kontrol akses minimum yang diperlukan, dengan pencatatan audit yang mengetahui PHI yang disimpan selama enam tahun untuk memenuhi persyaratan HIPAA dan HITECH.
Pemberitahuan pelanggaran yang selaras dengan HITECH dengan jadwal yang ditentukan dan alur kerja yang terdokumentasi.
Infrastruktur penyewa tunggal khusus tersedia untuk penerapan di mana hosting multi-penyewa bersama tidak memenuhi standar internal Anda.

Jalur Kepatuhan

Audit tidak menyenangkan. Begitu pula menemukan bahwa vendor "aman secara default" yang Anda beli tahun lalu berarti "aman dalam dek penjualan." Pada peluncuran produksi, Sugarbug menargetkan:

SOC 2 Tipe II – keamanan, ketersediaan, dan kerahasiaan.
ISO/IEC 27001 – manajemen keamanan informasi internasional.
HIPAA untuk pelanggan dengan Perjanjian Mitra Bisnis.
GDPR – portabilitas data, hak untuk dihapus, dan dasar hukum di seluruh proses.

Keputusan arsitektur yang telah kami buat terhubung langsung dengan kontrol yang diharuskan kerangka kerja ini: isolasi penyewa di setiap lapisan, pencatatan audit ujung ke ujung, enkripsi siap amplop, semantik penghapusan yang dapat diverifikasi, dan model scraping ruang pengguna yang menjaga administrator keluar dari data pribadi secara desain. Keamanan Sugarbug bukan bab yang kami tambahkan di akhir; itu adalah bentuk produk. Jalur jujur terpendek untuk lulus audit adalah membangun produk dengan cara yang diinginkan auditor semua orang lakukan, dan kami berusaha melakukan itu pada percobaan pertama.

Jika Anda menginginkan lapisan intelijen alur kerja yang memperlakukan data Anda seperti catatan pasien daripada bahan pelatihan, itulah yang sedang kami bangun. Coba Sugarbug di sugarbug.ai.

Pertanyaan yang Sering Diajukan

Pertanyaan yang paling sering muncul tentang keamanan Sugarbug, dengan jawaban sederhana.

Apakah Sugarbug melatih model AI menggunakan data saya?

Tidak, dan tidak akan pernah. Ini adalah keputusan arsitektur, bukan kontraktual. Pada peluncuran produksi, Zero Data Retention berlaku dengan setiap penyedia LLM yang kami gunakan, dan pelanggan yang menginginkan jaminan lebih ketat dapat memilih pengayaan lokal.

Bisakah atasan saya membaca DM Slack pribadi saya melalui Sugarbug?

Tidak. Sugarbug hanya melakukan scraping dengan izin Anda. Administrator organisasi tidak melihat apa pun yang tidak bisa dilihat organisasi tanpa Sugarbug – saluran publik, dokumen bersama, kalender grup. Konektor pribadi Anda hanya milik Anda.

Apa yang terjadi pada data Sugarbug saya saat saya meninggalkan perusahaan?

Anda menyimpan grafik pengetahuan pribadi dan membawanya pergi. Meninggalkan organisasi menghapus akses Anda ke sumber agregat organisasi tersebut dan sinyalnya, menghapus riwayatnya saat akses Anda ke alat yang terhubung dicabut. Riwayat pribadi dan catatan Anda ikut bersama Anda.

Bagaimana Sugarbug menjaga data pribadi agar tidak masuk ke prompt AI?

Pada peluncuran produksi, PII dihapus dari setiap muatan pengayaan sebelum model pernah melihatnya – baik itu model kami, milik Anda, penyedia cloud, atau yang sepenuhnya lokal. LLM melihat bentuk masalah Anda, bukan orang atau data di dalamnya.

Apakah Sugarbug memenuhi standar SOC 2 dan HIPAA?

Pada peluncuran produksi, Sugarbug menargetkan SOC 2, ISO/IEC 27001, HIPAA (dengan BAA), dan GDPR. BAA tersedia di setiap tingkat berbayar, tidak dikunci di balik harga enterprise.