Verified Engineering 是一个我们愿意接受审计的承诺。
以下是支撑这一承诺的证据。
Gottlieb 专为知识产权保护是法律和竞争义务的工程组织而构建。每一个架构决策、每一种集成姿态、每一项保留策略都体现了这一点。本页面是证据,而非推销。
工程原则即道德承诺
这些约束条件,是整个系统的构建基础。
工程不能事后补装。
安全、溯源和验证是 Manufactory 中的一等约束,而非事后添加的层次。架构不允许存在绕过它们的输出路径。
渲染不是产品。
每个 Verified Submission 都携带产生它的推理链、输入来源和测量误差范围。没有可追溯来源的交付物不会发布。
溯源是主要产物。
谁发起了请求、哪些数据产生了它、哪些模型评估了它、人类批准了什么 -- 所有内容在提交时捕获,并在整个监管窗口内保留。
报价之前先验证。
没有完成的 Verified Submission,任何成本估算、合规声明或安全关键输出都不会发布。Manufactory 强制执行此关卡,无法通过角色或配置绕过。
安全关键场景中禁止无人值守签批。
任何涉及安全关键参数的输出,都必须由人类以透明、可审计的推理链进行审批。自动化提供证据;合格工程师完成闭环。
认证与审计证据
我们声明我们拥有的。我们不声称我们尚未获得的。
SOC 2 Type II
支撑的承诺:每个请求都经过验证。
进行中。基础设施控制和访问策略已达到审计就绪状态。正式认证正在推进中。当前控制文档可按需共享。
VPC 和本地部署
支撑的承诺:您的数据留在您的地区。
今日可用。欧盟客户在 Azure 德国西部中心运行。美国客户在 GCP 或 AWS 美国东部运行。对于有严格数据驻留要求的组织,本地部署可用。生产数据不跨地区传输 -- 由基础设施策略强制执行,而非配置。
独立渗透测试
支撑的承诺:通过构造验证,通过对抗性审查确认。
已计划。参与范围已确定。结果将在 NDA 下与企业评估方按需共享。
数据处理协议 / BAA
支撑的承诺:有文档记录、可审计的义务。
可按需为任何企业账户提供。
ITAR 与两用品管控立场
Gottlieb 目前未持有 ITAR 注册。处理 ITAR 管控技术数据的组织有责任确保相关数据在未采取适当控制措施的情况下不进入 Manufactory。我们为有出口管制义务的组织提供本地部署和气隙配置支持,并将直接与您的合规团队合作,确定合规集成范围。我们不会声称我们尚未建立的立场。
只读优先集成
对于注重安全的账户,Gottlieb 在开放任何写入路径之前以只读方式集成。在集成经过审查且客户明确授予写入权限之前,不会修改任何数据、提交任何输出或调用任何外部系统。这是新企业集成的默认姿态,而非可选模式。
多年监管保留期下的溯源保证
每个 Verified Submission 都会创建不可变的溯源记录:输入内容、调用的模型、人类审批者、时间戳和测量误差范围。这些记录在客户所在司法管辖区要求的整个监管窗口内保留 -- 不因账户关闭而删除,不因任意间隔而截断。溯源在设计上即可追溯、具有保留意识且已达到审计就绪状态。
责任立场
Gottlieb 在安全关键场景中不提供无人值守签批。任何涉及安全关键参数的输出,都要求合格工程师在批准前审查完整、透明的推理链 -- 包括模型置信度、输入来源和测量错误率。Manufactory 记录该批准及其所依据的证据。责任由完成闭环的合格人员承担,并有其所批准内容的可审计记录作为支撑。