Architettura

Architettura

Claresia è composta da sei layer logici che girano su tre modalità di deployment. Questa pagina è il riferimento pronto per il procurement; il Security Whitepaper è l'approfondimento tecnico.

Sei layer logici

Layer	Posizione	SLA	Descrizione
Identity & Access	Sempre Claresia Cloud	99,99%	SSO con WorkOS, provisioning SCIM, RBAC, emissione JWT.
Intelligence Hub	Claresia A/B · Cliente C	99,9% A/B	cc-050 — memoria canonica organizzativa. 6 tipi di record: output, decision, governance_event, artifact, employee_profile, telemetry_event.
Distribution Plane	Sempre Claresia Cloud	99,9% · <60s p99 publish	cc-063/065/070/071 — transpiler Skill IR + publisher per le admin API di ciascun LLM.
Telemetry Pipeline	Claresia · Redaction lato Cliente in Modalità C	99,9% · <5min p95 surface	cc-064/066/070 — preleva i log di audit della piattaforma LLM in fn_telemetry_event.
Command Center	Sempre Claresia Cloud	99,95%	cc-059 — console IT-admin + Portale di Onboarding rivolto al Cliente.
Superfici utente finale	Nel tenant LLM del Cliente	Gestita dal Cliente	cc-067 app Teams, cc-071 app Slack, cc-069 estensione browser, cc-068 Adaptive Cards.

Modalità A

Claresia Cloud (SaaS condivisa)

SaaS multi-tenant con Row-Level Security per tenant. Time-to-go-live di 24 ore. SLA 99,5%. Raccomandata per organizzazioni con meno di 200 postazioni e senza requisiti di residenza.

Modalità A — topologia SaaS condivisa con Postgres in RLS, LLM del Cliente e control plane Claresia Cloud. — Installazione lato Cliente: zero. Si incolla una API key Anthropic Admin. Niente agenti, daemon o codice nell'infrastruttura del Cliente.

Modalità B

Claresia Cloud Dedicata

Cluster Postgres dedicato per tenant con chiave di cifratura gestita dal Cliente, regione fissata, subnet dedicata, allowlisting IP e Customer Lockbox per l'accesso operativo. Go-live in 5 giorni. SLA 99,9%.

Modalità B — Postgres dedicato del tenant con CMEK, regione fissata, subnet dedicata. — Tenant dedicato fissato in UE con CMEK, conforme a GDPR Schrems II, BAA opzionale.

Modalità C

Cloud del Cliente (BYOC)

Il data plane dello Hub risiede interamente nel Suo cloud. Solo gli envelope di telemetria (senza payload) tornano via mTLS verso Claresia. Distribuito tramite moduli Terraform: claresia/aws-byoc, azure-byoc, gcp-byoc. Go-live in 2-6 settimane.

Modalità C — control plane in Claresia, data plane nel cloud del Cliente, flusso di ritorno con soli envelope mTLS. — Data plane dello Hub di proprietà del Cliente. Crittografia gestita dal Cliente. Certificati mTLS emessi dal Cliente. Accesso operativo Claresia tramite Customer Lockbox.

Flusso di identità che mostra utente → WorkOS → IdP del Cliente → token → JWT, oltre al ciclo di vita SCIM 2.0. — L'IdP del Cliente è la fonte unica di verità. SCIM 2.0 propaga le modifiche utente (deprovisioning, cambi di gruppo, spostamenti di reparto) in meno di 30 secondi.

Architecture review on demand

Per gli approfondimenti architetturali in fase di procurement, il team Engineering di Claresia partecipa alla Sua security review in una call di 60 minuti per illustrare i diagrammi qui sopra ai Suoi referenti di rete, identità e AppSec. Non è richiesta una slide deck dedicata al Cliente.

Pianifichi una review

Sei layer logici

Claresia Cloud (SaaS condivisa)

Topologia Modalità A

Claresia Cloud Dedicata

Topologia Modalità B

Cloud del Cliente (BYOC)

Topologia Modalità C

Flusso di identità e permessi

Architecture review on demand