Home | Blog | Guide

Sugarbug Güvenliği: Verileriniz Çıkışta da Size Ait Kalır

Sugarbug güvenliği: kullanıcı alanı kazıma, tıbbi taahhütler, kilitlenme yok, verilerinizle model eğitimi yok. Kurumsal ve sağlık sektörü için.

By Ellis Keane · 2026-04-17

Sektörümüzde şöyle bir şaka dolaşır: Ücretsiz AI almanın en iyi yolu eğitim verisi olmaktır. Her nesil platform, işinizden para kazanmanın bir önceki nesle göre biraz daha hızlı (ve biraz daha sinsi) yolunu bulmuştur; bir noktada hepimiz bunu "gelecek" olarak adlandırmayı kabul etmişizdir. (Buna "ilerleme" de deniyor, öğrendik.) Sugarbug tam tersi ilke üzerine kurulmuştur ve bu yazı Sugarbug güvenliğinin açık Türkçe turu: ne söz verdiğimiz, kodda şu an ne olduğu, üretime geçişte ne ekleneceği ve neden hiçbir düzenleyicinin talep edeceğinden daha yüksek bir standarda kendimizi bağladığımız.

Şirketinizin en hassas iş akışlarının tam ortasında yer alıyoruz. Hiç kimsenin yeniden okumayacağını düşündüğü Slack başlıkları. Birinin 2023'te bir tartışmayı kaybettiği ve inceleyiciyi hâlâ affetmediği PR tartışmaları. Figma yorumları ve tasarım incelemeleri, Linear biletleri, takvim davetleri, toplantı dökümleri, hepsi. Bu tür verileri tutmanın tek dürüst standardı tıbbi düzeyde bir standarttır: bir hastanenin hasta kayıtlarına davrandığı kadar kendimize karşı katı, ve kendi mühendisliğimize hiçbir düzenlemenin gerektireceğinden daha sert. Bunun altında kalan her şey kimsenin denetlemeyeceğine dair bir bahis, ve denetlenmeye karşı bahis yapmak berbat bir uzun vadeli plandır.

Sugarbug'ın görebildikleri (ve göremedikleri)

Sugarbug kullanıcı alanında çalışır. Sizin izinlerinizle kazır, hesaplarınızdan okur ve tam olarak sizin gördüklerinizi görür – ne fazla ne az. Bu tek mimari özellik (ilk duyduğunuzda sıkıcı, ikinci duyduğunuzda tehlikeli derecede yük taşıyıcı görünen) verilerinizin nasıl ele alındığı konusunda gerçekten derin sonuçlar doğurur.

Yöneticiler özel mesajlarınızı okuyamaz. Çoğu işyeri ürününde, bir şirketten ayrıldığınızda eski hesabınız işverenin arşivi haline gelir. Gelen kutunuzu yeniden açabilir, özel olduğunu sandığınız Slack DM'lerinizi kaydırabilir, yıllar önce gönderdiğiniz e-postaları okuyabilirler. Sugarbug bu kapıyı açılmadan kapatır. Bir kuruluş yöneticisi yalnızca kuruluşun zaten görebildiklerini görebilir – genel kanallar, paylaşılan belgeler, grup takvimleri. Özel bağlantılarınız yalnızca size aittir, nokta.

Bir kuruluşa katılmak anlıktır. Yeni üyeler, bir üyenin normalde göreceği her şeyi bir araya getiren, önceden işlenmiş tek bir toplam kaynak alır – genel Slack kanalları, grup toplantı notları, paylaşılan Notion belgeleri, Linear biletleri, Figma değişiklikleri, genel PR'lar – yinelenmiş ve kuruluşun birleşik grafiğiyle halihazırda dizinlenmiş. Anında dahil olur ve ekibin ortak bağlamına sahip olursunuz; meslektaşlarınızın zaten işlediği şeyleri yeniden alma maliyetini ödemeden.

Bir kuruluştan ayrılmak temizdir. Bağlantıyı kestiğinizde, kuruluşun toplam kaynağına ve sinyallerine erişiminizi kaybedersiniz, başka hiçbir şey değişmez. Özel bağlantılarınız sizin kalır. Geçmişiniz, notlarınız ve kişisel grafınız bir sonraki yere sizinle birlikte gelir.

Kullanıcı alanı kazıma, her şeyi taşıyan tasarım kararıdır. Özel mesajları özel kılan, taşınabilir grafı taşınabilir yapan ve "verileriniz size aittir" ifadesini bir pazarlama sloganından sistem özelliğine dönüştüren budur.

Günlük defteri modeli

Birinin kariyeri boyunca özel bir defter tutabileceğini düşünün. Yıllar geçtikçe tanıştıkları insanlarla, düşüncelerle, bir anın onlara nasıl hissettirdiğiyle, zorlu bir haftadan öğrendikleriyle dolar. O defter onu yazanın mülküdür. Aynı zamanda onları daha keskin, daha düşünceli ve daha değerli bir meslektaş yapan şeydir.

Sugarbug, bu defterin tam bir çalışma bilgi grafiğine ölçeklendirilmiş halidir: kişisel bağlamınız (DM'ler, notlar, birebir görüşmeler) ve kuruluşun paylaşılan bağlamı (genel kanallardaki Slack başlıkları, Linear biletleri, paylaşılan belgeler) ikisi arasındaki sınırları bulanıklaştırmadan tek bir kişisel sisteme dokuma. Bireye özel, birey paylaşmayı seçtiğinde ekibe yararlı, kişi ayrıldığında taşınabilir.

Özel ve genel bağlamlar ayrı araçlarda değil birlikte dizinlendiğinden, kamuya açık çalışmak en verimli operasyon yolu haline gelir (durum güncellemelerinde bir hafta geçirmiş herkes için göründüğünden daha büyük bir iddia). İşi yaparsınız, paylaşılan bağlam kendini günceller ve özel günlük modeli özel kalır.

Sugarbug, bu defterin tam bir çalışma bilgi grafiğine ölçeklendirilmiş halidir; sizin olanla paylaşılan arasındaki çizgiyi bulanıklaştırmadan.

Bugün gelen özellikler

Bunlar yol haritası kalemleri değildir. Bunlar zaten kodda olan, CI'da çalışan ve giden her commit'in arkasında duran Sugarbug güvenlik parçalarıdır.

Parolasız oturum açma. Kimlik doğrulama, beş kimlik sağlayıcısı üzerinden yalnızca OAuth tabanlıdır. Kimlik avlanacak, sızdırılacak veya yeniden kullanılacak parola yoktur.
Her yerde şifreli. Beklemedeki hassas yükler, kimliği doğrulanmış AES-256-GCM kullanır; bağlantılar her genel uç noktada HSTS ön yüklü TLS 1.3 kullanır.
Her katmanda kiracı yalıtımı. Her sorgu ve her vektör araması arayana göre kapsamlandırılmıştır; kiracılar arası sızıntı her CI çalıştırmasında otomatik testlerle denetlenir.
İdari eylemler görünürdür. Kişiselleştirme, hesap değişiklikleri ve veri silme işlemlerini kapsayan kurcalamaya karşı dayanıklı denetim günlükleri. Bir Sugarbug mühendisinin destek talebi için hesabınıza girmesi gerekirse günlük tam olarak kimin, ne zaman ve neden girdiğini gösterir.
Güvenlik, derleme hattının bir parçasıdır. Özel otomasyonlar her commit'i sızdırılan sırlar, savunmasız bağımlılıklar ve kod kalitesi gerilmeleri için tarar. Bu denetimleri geçemeyen bir değişiklik asla sevk edilmez.
Güvenli dağıtımlar. Sağlık kontrollü mavi-yeşil sunumlar, kullanıcılarınız fark etmeden bir şeyler ters giderse otomatik olarak geri döner.
Her yerde kimliği doğrulanmış kanallar. Masaüstü istemci, yanında çalışan yerel ajan ve sunucularımız kimliği doğrulanmış, şifreli kanallar üzerinden iletişim kurar. Asla düz metin trafik olmaz.

Lansman neler ekliyor

"Bugün gelen özellikler" listesi temeldir. Üretime geçiş, büyük alıcıların 14 sekmeli bir e-tablo üzerinden talep ettikten sonra "temel gereksinim" dediği denetimleri eklediğimiz ve API'nin arkasına gerçekten hassas bir şey geçmeden önce yerinde olmasını kişisel olarak istediğimiz yerdir. Aşağıdaki her şeyi, bir dilek listesi veya kurumsal anlaşmanın arkasında kilitli değil, her kullanıcıya yönelik kesin bir lansman taahhüdü olarak okuyun.

Müşteri tarafından yönetilen şifreleme anahtarları. Anahtar yönetim sisteminiz anahtarları tutar. Sugarbug operatörleri tam sunucu erişimiyle bile verilerinizi çözemez – bir iş akışı istihbaratı ürününün sıfır bilgiye dürüstçe en çok yaklaşabildiği yer.
Kendi LLM'inizi getirin. Zenginleştirmeyi tercih ettiğiniz sağlayıcı üzerinden yönlendirin – OpenAI, Anthropic, Google veya kendi barındırdığınız açık kaynaklı bir model. Sizin tercihiniz, sizin faturanız, sizin veri işleme ilişkiniz. İhtiyaç duyan ekipler için zenginleştirme tamamen kendi barındırılan bir modelde uçtan uca çalışabilir.
Her LLM çağrısından önce kişisel veriler çıkarılır. Hangi modele yönlendirirseniz yönlendirin – bizimki, sizinki, bulut, hibrit, tamamen yerel – her zenginleştirme yükündeki isimler, e-postalar, telefon numaraları, adresler, anahtarlar ve tanımlayıcılar modele ulaşmadan önce tersine çevrilebilir belirteçlerle değiştirilir. LLM verilerinizin şeklini görür, içindeki insanları asla görmez. Sugarbug, çıktının doğru bağlamla gelmesi için alındığında belirteçleri geri çözer.
Masaüstü istemcide Keychain destekli kimlik bilgisi depolama. Entegrasyon belirteçleriniz yalnızca işletim sisteminizin erişebildiği yerde yaşar.
İmzalı ve onaylı uygulama ikilileri, imza doğrulamalı otomatik güncellemelerle. Çalıştırdığınız Sugarbug'ın bizim gönderdiğimiz Sugarbug olduğunu doğrulayabilirsiniz.
Uyumluluk düzeyinde yapılandırılmış günlük kaydı ile her olay sınıfı için tanımlı saklama pencereleri.
Çok bölgeli yedeklilik ile otomatik belirli noktaya kurtarma.

Nereye gidiyoruz

Üretime geçiş, nihai durum değildir. Onun ötesindeki ufkumuz, herhangi bir kullanıcının – yalnızca özel altyapıya sahip kurumların değil – tamamen kendi makinesinde çalıştırabileceği bir Sugarbug'dur. Sizin modeliniz, sizin depolama alanınız, sizin grafınız, yalnızca zorunlu olanı senkronize eder. Kendi çatınız altında iş akışı istihbaratı, siz oraya koymayı seçmediğiniz sürece sunucularımızda hiçbir şey olmadan (istediğiniz zaman ileri geri geçiş yapabilirsiniz). Mimari bu hedefe bakarak inşa edilmektedir ve şimdiden lansmana kadar aldığımız her karar buna göre denetlenmektedir.

(Bu iddialı geliyorsa, iyi. On yıldır sessizce verilerinizi eğitim kümelerine gönderen bir sektör, iddialı ticari düzeyde bir karşı teklife layıktır.)

Saklama sizin kontrolünüzde

Sugarbug, kaynak sisteminizin saklama politikasını yansıtır. Slack'iniz mesajları 90 gün saklıyorsa, Sugarbug'ın kopyası aynı programda kaybolur – görevler, kişi özetleri, toplantı hazırlığı ve vektör araması dahil her yüzeyde. Pencereyi bir kez ayarlarsınız; biz her yerde uyarız.

Hesabınızı sildiğinizde, vektör gömmeleri dahil her şeyi sileriz.

Kapıda kilit yok

Sizi kilitlemek istemiyoruz. Sugarbug gerçekten en iyi deneyim olduğu ve sizi ve ekibinizi herhangi bir alternatiften daha keskin kıldığı için – çıkmak zor olduğu için değil – kalmak istiyoruz. Bu yüzden verilerinizi istediğiniz an, satışla konuşmak zorunda kalmadan ve bir elde tutma ekibi siz ile dışa aktarma düğmesi arasında durmadan çekebilirsiniz. Her görev, her kişi, her toplantı taşınabilir formatta gelir; bir sonrakine aktarmaya hazır.

Diğer seçenekleri deneyin. Bizi zorlayın. Bu baskı, nasıl daha iyi hale geldiğimizin bir parçası ve çalışma hayatınızı kolaylaştırmak tüm amacımız.

Kurumsal için fazlasıyla inşa edildi

Büyük, düzenlenmiş kuruluşların aylarca süren tedarik incelemeleri ve yüzlerce soru içeren denetim listeleri var. (Bir anlaşma kapanmadan önceki gece saat 23'te SIG Lite cevapladıysanız, size bir içki borçluyum.) Sugarbug güvenlik hikayesi bu denetimleri ilk geçişte geçmek için tasarlandı. Bunu gece yarısı, yarı uyanık, evrenden daha küçük bir e-tablo için sessizce pazarlık yaparak geçirmeye çalıştıysanız, bu bölümü zaten ezbere biliyorsunuzdur – ürün, herhangi birine el sallamak zorunda kalmayacağınız şekilde inşa edildi.

Kimlik ve erişim. Okta, Azure AD, Ping, Google Workspace ve JumpCloud ile SAML 2.0 SSO. HRIS'iniz bir çalışanı işten çıkarıldı olarak işaretler işaretlemez otomatik çıkış için SCIM 2.0 sağlama ve sağlamayı kaldırma. Kuruluş düzeyinde zorunlu MFA politikası, yapılandırılabilir oturum zaman aşımları ve kuruluş düzeyinde IP izin listesi.

Doğrulayabileceğiniz veri sınırları.

Verileriniz model eğitmez. Ne bizimkini, ne sağlayıcılarımızınkini, ne de kimseninki. Bu mimari bir taahhüttür, bir sözleşmedeki satır değil – sinyal ilettiğimiz her LLM sağlayıcısıyla Sıfır Veri Saklama güvence altına alıyoruz; daha güçlü bir güvenceye ihtiyaç duyan müşteriler ham verilerin çevrelerinden çıkmadığı yerel öncelikli zenginleştirmeyi tercih edebilir.
ABD, AB ve Birleşik Krallık'ta bölgesel veri ikamet hakkı. Verileriniz fiziksel olarak seçtiğiniz bölgede kalır. Sınır ötesi kopya yok, "büyük ölçüde orada kalıyor" yok.
Yayınlanmış alt işlemci listesi, değiştiğinde önceden bildirim ve değişiklik yürürlüğe girmeden itiraz etmeniz için bir pencere ile.
Sınır ötesi transferler için Standart Sözleşme Maddeleriyle önceden imzalanmış VİS ve hukuk ekibiniz için hazır Transfer Etki Değerlendirmesi.

Ağ ve operasyonlar.

AWS PrivateLink, Azure Private Endpoints ve GCP Private Service Connect aracılığıyla özel ağ. Bunu gerektiren müşteriler için ağınız ile Sugarbug arasındaki trafik hiçbir zaman genel internete dokunmaz.
Denetim günlüğü akışı Splunk, Datadog, Microsoft Sentinel veya Chronicle'a. SOC'unuz bizim gördüğümüz olayların aynısını görür.
Saklama askıya alma ve kapsamlı dışa aktarma dahil, dava altındaki veriler için yasal bekletme ve eKeşif desteği.
En yüksek hassasiyetli dağıtımlar için mevcut özel tek kiracılı altyapı.
24 saat içinde sözleşmeye dayalı ihlal bildirimi – GDPR'ın 72 saatlik tabanının çok içinde.
Belgelenmiş felaket kurtarma planı ve çapraz bölge yedekleriyle desteklenen yayınlanmış RTO ve RPO hedefleri.
Üretim erişimine sahip, yıllık güvenlik eğitimi ve üç aylık erişim incelemeli geçmişi kontrol edilmiş personel.

Kendi koşullarınızda doğrulama.

Tanınmış bir firma tarafından yıllık üçüncü taraf sızma testi. Yönetici özeti kamuya açık; tam rapor NDA kapsamında mevcuttur.
Kamuya açık hata ödül programı.
Tek URL'de Güven Merkezi: SOC 2 raporu, ISO/IEC 27001 sertifikası, sızma testi özeti, alt işlemci listesi, VİS şablonu, güvenlik durum sayfası ve en son denetim köprü mektubu.
Önceden doldurulmuş SIG Lite, CAIQ ve VSA-Full yanıtları tedarik ekibiniz için hazır.

Sağlık sektörü için fazlasıyla inşa edildi

Hastaneler ve sağlık sistemleri, ortalama kurumdan farklı bir risk türü taşır. Sıradan SaaS'ta bir ihlal bir olaydır; klinik ortamlarda bir ihlal, bir bakım sunumu sorunu ile federal soruşturma arasında bir yere kadar gidebilir ve bu iki sonuç arasındaki boşluk içinde olmak istemediğimiz bir yerdir. Sugarbug bu farkı akılda tutarak inşa edildi. Aşağıdaki taahhütler fiyatlandırmamızın en üst kademesinin arkasında değil; çünkü "BAA yalnızca kurumsal" sektörde her zaman sessizce sinsi bir hamle olmuştur.

Ücretli her kademede Business Associate Agreement mevcuttur, hesabınız üzerinden herhangi bir Korunan Sağlık Bilgisi akışından önce imzalanır. Yalnızca kurumsal kademede kilitli değildir.
HIPAA ve HITECH gereksinimlerini karşılamak için altı yıl saklanan PHI'ya duyarlı denetim günlüğüyle minimum-necessary erişim kontrolleri.
Tanımlı zaman çizelgesi ve belgelenmiş iş akışıyla HITECH uyumlu ihlal bildirimi.
Paylaşılan çok kiracılı barındırmanın iç standartlarınızı karşılamadığı dağıtımlar için mevcut özel tek kiracılı altyapı.

Uyum yolculuğu

Denetimler eğlenceli değildir. Geçen yıl satın aldığınız "varsayılan olarak güvenli" satıcının "satış sunumunda güvenli" anlamına geldiğini keşfetmek de değildir. Üretime geçişte Sugarbug şunları hedeflemektedir:

SOC 2 Type II – güvenlik, kullanılabilirlik ve gizlilik.
ISO/IEC 27001 – uluslararası bilgi güvenliği yönetimi.
Business Associate Agreements'lı müşteriler için HIPAA.
GDPR – veri taşınabilirliği, silinme hakkı ve her aşamada yasal dayanak.

Zaten aldığımız mimari kararlar doğrudan bu çerçevelerin gerektirdiği denetimlere izlenmektedir: her katmanda kiracı yalıtımı, uçtan uca denetim günlüğü, zarf hazır şifreleme, doğrulanabilir silme semantiği ve tasarım gereği yöneticileri özel verilerden uzak tutan kullanıcı alanı kazıma modeli. Sugarbug güvenliği sona eklediğimiz bir bölüm değil; ürünün şeklidir. Denetimi geçmenin en kısa dürüst yolu, ürünü denetçinin herkesin yapmasını istediği şekilde inşa etmektir ve bunu ilk geçişte yapmaya çalışıyoruz.

Verilerinizi eğitim yemi yerine hasta kaydı gibi ele alan bir iş akışı istihbaratı katmanı istiyorsanız, işte bunu inşa ediyoruz. Sugarbug'ı sugarbug.ai adresinde deneyin.

Sıkça Sorulan Sorular

Sugarbug güvenliği hakkında en çok sorulan sorular, doğrudan yanıtlarıyla.

Sugarbug verilerimle AI modelleri eğitiyor mu?

Hayır ve hiçbir zaman eğitmeyecek. Bu mimari bir karar, sözleşmeye dayalı değil. Üretime geçişte, yönlendirdiğimiz her LLM sağlayıcısıyla Sıfır Veri Saklama uygulanmaktadır; daha katı güvence isteyen müşteriler yerel öncelikli zenginleştirmeyi tercih edebilir.

İşverenin Sugarbug aracılığıyla özel Slack DM'lerimi okuyabilir mi?

Hayır. Sugarbug yalnızca sizin izinlerinizle kazır. Bir kuruluş yöneticisi, kuruluşun Sugarbug olmadan zaten göremeyeceği hiçbir şeyi göremez – genel kanallar, paylaşılan belgeler, grup takvimleri. Özel bağlantılarınız yalnızca size aittir.

Şirketten ayrıldığımda Sugarbug verilerime ne olur?

Özel grafınızı elinizde tutup çıkarsınız. Bir kuruluştan ayrılmak, o kuruluşun toplam kaynağına ve sinyallerine erişiminizi kaldırır; bağlı araçlara erişiminiz kaldırıldığında bunların geçmişi silinir. Kişisel geçmişiniz ve notlarınız sizinle birlikte gelir.

Sugarbug kişisel verileri AI istemlerinden nasıl uzak tutar?

Üretime geçişte, her zenginleştirme yüküne ait kişisel veriler model bunları görmeden önce çıkarılır – ister bizim modelimiz olsun, ister sizinki, ister bir bulut sağlayıcı, ister tamamen yerel. LLM probleminizin şeklini görür, içindeki insanları veya verileri asla görmez.

Sugarbug SOC 2 ve HIPAA uyumlu mu?

Üretime geçişte Sugarbug SOC 2, ISO/IEC 27001, HIPAA (BAA'larla) ve GDPR hedeflemektedir. BAA'lar ücretli her kademede mevcuttur, kurumsal fiyatlandırmanın arkasında kilitli değildir.