Compliance
Vaulted ist keine Compliance-Plattform, aber seine Zero-Knowledge-Architektur stimmt mit den Sicherheitskontrollen überein, die von den wichtigsten Compliance-Frameworks gefordert werden.
Zero-Knowledge by Design
Vaulted verschlüsselt jedes Geheimnis in deinem Browser, bevor irgendwelche Daten dein Gerät verlassen. Der Server speichert nur Geheimtext und Metadaten. Wir sehen deinen Klartext nie und haben keinen Mechanismus, ihn zu entschlüsseln. Das ist keine Richtlinie — es ist eine architektonische Einschränkung.
Keine Daten zum Stehlen
Geheimnisse löschen sich automatisch, wenn das Aufruflimit erreicht wird oder die Ablaufzeit verstrichen ist. Es gibt keine Nutzerkonten, keine IP-Logs und keine Analyse von Geheimnisinhalten. Eine vollständige Kompromittierung des Servers liefert nur verschlüsselte Blobs ohne entsprechende Schlüssel.
Framework-Ausrichtung
SOC 2 Type II
SOC 2 verlangt Kontrollen rund um Vertraulichkeit und Sicherheit von Kundendaten. Vaulted unterstützt dies durch clientseitige AES-256-GCM-Verschlüsselung (der Server sieht nie Klartext), automatische Löschung bei Erreichen des Aufruflimits oder des Ablaufs sowie das Fehlen persistenter Speicherung sensibler Daten über das konfigurierte TTL hinaus.
- CC6.1 — Verschlüsselung von Daten im Transit und im Ruhezustand
- CC6.7 — Einschränkung der Datenübertragung auf autorisierte Parteien
- CC6.5 — Sichere Vernichtung vertraulicher Daten
HIPAA
HIPAA verlangt, dass elektronisch geschützte Gesundheitsinformationen (ePHI) sicher übertragen werden. Obwohl Vaulted keine Covered Entity ist, bedeutet seine Zero-Knowledge-Architektur, dass über Vaulted geteilte Zugangsdaten verschlüsselt werden, bevor sie den Browser verlassen. Der Server hat nie Zugriff auf den Klartext, und Geheimnisse löschen sich nach der Nutzung automatisch.
- §164.312(a)(1) — Zugriffskontrolle über Aufruflimits und Ablaufzeiten
- §164.312(e)(1) — Übertragungssicherheit durch clientseitige Verschlüsselung
- §164.312(c)(1) — Integritätskontrollen durch authentifizierte Verschlüsselung (GCM)
GDPR
Die DSGVO verlangt Datensparsamkeit und Zweckbindung für personenbezogene Daten. Vaulted erfasst keine Nutzerkonten, keine IP-Logs und keine Analysen über Geheimnisinhalte. Geheimnisse werden beim Erreichen des Aufruflimits oder des Ablaufs automatisch gelöscht — es gibt keine langlebigen personenbezogenen Daten zum Verwalten, Exportieren oder Löschen.
- Art. 5(1)(c) — Datensparsamkeit: keine Konten, kein IP-Logging
- Art. 5(1)(e) — Speicherbegrenzung: automatische TTL-basierte Löschung
- Art. 32 — Sicherheit der Verarbeitung: AES-256-GCM-Verschlüsselung
ISO 27001
ISO 27001 Anhang A verlangt kryptografische Kontrollen und sichere Informationsübertragung. Vaulted verwendet AES-256-GCM (NIST SP 800-38D) mit Schlüsseln, die den Browser nie verlassen. Die Zero-Knowledge-Architektur bedeutet, dass eine vollständige Kompromittierung des Servers nur verschlüsselten Geheimtext liefert.
- A.10.1.1 — Kryptografische Kontrollen: AES-256-GCM via Web Crypto API
- A.13.2.1 — Sichere Informationsübertragung: Zero-Knowledge-Architektur
- A.8.3.2 — Vernichtung von Datenträgern: automatische Löschung von Geheimnissen bei Ablauf
Hinweis zur Compliance
Compliance hängt von deinem gesamten Technologie-Stack und deinen organisatorischen Kontrollen ab — kein einzelnes Tool kann dich compliant machen. Vaulted bietet eine solide kryptografische Grundlage für das sichere Teilen von Zugangsdaten, sollte aber als Teil deines umfassenderen Compliance-Programms bewertet werden. Details zur Funktionsweise der Verschlüsselung findest du auf der Sicherheitsseite.