Cumplimiento
Vaulted no es una plataforma de cumplimiento, pero su arquitectura de conocimiento cero se alinea con los controles de seguridad que exigen los principales marcos de cumplimiento.
Conocimiento cero por diseño
Vaulted cifra cada secreto en tu navegador antes de que cualquier dato salga de tu dispositivo. El servidor almacena únicamente texto cifrado y metadatos. Nunca vemos tu texto sin cifrar y no tenemos ningún mecanismo para descifrarlo. Esto no es una política, es una restricción arquitectónica.
Sin datos que vulnerar
Los secretos se eliminan automáticamente cuando se alcanza el límite de visualizaciones o vence la expiración. No hay cuentas de usuario, ni registros de IP, ni analíticas sobre el contenido de los secretos. Un compromiso total del servidor solo revela bloques cifrados sin sus claves correspondientes.
Alineación con los marcos
SOC 2 Type II
SOC 2 exige controles sobre la confidencialidad y la seguridad de los datos de los clientes. Vaulted lo respalda mediante cifrado AES-256-GCM del lado del cliente (el servidor nunca ve el texto sin cifrar), eliminación automática al alcanzar el límite de visualizaciones o la expiración, y la ausencia de almacenamiento persistente de datos sensibles más allá del TTL configurado.
- CC6.1 — Cifrado de datos en tránsito y en reposo
- CC6.7 — Restricción de la transmisión de datos a las partes autorizadas
- CC6.5 — Eliminación segura de datos confidenciales
HIPAA
HIPAA exige que la información médica protegida en formato electrónico (ePHI) se transmita de forma segura. Aunque Vaulted no es una entidad cubierta, su arquitectura de conocimiento cero implica que las credenciales compartidas a través de Vaulted se cifran antes de salir del navegador. El servidor nunca tiene acceso al texto sin cifrar y los secretos se eliminan automáticamente tras su uso.
- §164.312(a)(1) — Control de acceso mediante límites de visualización y expiración
- §164.312(e)(1) — Seguridad en la transmisión mediante cifrado del lado del cliente
- §164.312(c)(1) — Controles de integridad mediante cifrado autenticado (GCM)
GDPR
GDPR exige la minimización de datos y la limitación de la finalidad para los datos personales. Vaulted no recopila cuentas de usuario, ni registros de IP, ni analíticas sobre el contenido de los secretos. Los secretos se eliminan automáticamente al alcanzar el límite de visualizaciones o la expiración; no hay datos personales de larga duración que gestionar, exportar o eliminar.
- Art. 5(1)(c) — Minimización de datos: sin cuentas, sin registro de IP
- Art. 5(1)(e) — Limitación del almacenamiento: eliminación automática basada en TTL
- Art. 32 — Seguridad del tratamiento: cifrado AES-256-GCM
ISO 27001
El Anexo A de ISO 27001 exige controles criptográficos y una transferencia segura de la información. Vaulted utiliza AES-256-GCM (NIST SP 800-38D) con claves que nunca salen del navegador. La arquitectura de conocimiento cero implica que un compromiso total del servidor solo revela texto cifrado.
- A.10.1.1 — Controles criptográficos: AES-256-GCM mediante Web Crypto API
- A.13.2.1 — Transferencia segura de la información: arquitectura de conocimiento cero
- A.8.3.2 — Eliminación de soportes: borrado automático de secretos al expirar
Una nota sobre el cumplimiento
El cumplimiento depende de toda tu pila tecnológica y de tus controles organizativos; ninguna herramienta por sí sola puede hacerte cumplir. Vaulted aporta una base criptográfica sólida para compartir credenciales de forma segura, pero debes evaluarlo como parte de tu programa de cumplimiento más amplio. Para más detalles sobre cómo funciona el cifrado, consulta la página de seguridad.