Compliance
Vaulted n'est pas une plateforme de conformité, mais son architecture zero-knowledge s'aligne sur les contrôles de sécurité exigés par les principaux référentiels de conformité.
Zero-knowledge par conception
Vaulted chiffre chaque secret dans ton navigateur avant que la moindre donnée ne quitte ton appareil. Le serveur ne stocke que du texte chiffré et des métadonnées. Nous ne voyons jamais ton texte en clair et nous n'avons aucun mécanisme pour le déchiffrer. Ce n'est pas une politique — c'est une contrainte architecturale.
Aucune donnée à compromettre
Les secrets s'autodétruisent dès que la limite de consultations est atteinte ou que l'expiration passe. Il n'y a pas de comptes utilisateur, pas de journaux d'IP et pas d'analytique sur le contenu des secrets. Une compromission complète du serveur ne livre que des blobs chiffrés sans les clés correspondantes.
Alignement avec les référentiels
SOC 2 Type II
SOC 2 exige des contrôles autour de la confidentialité et de la sécurité des données client. Vaulted répond à cela grâce au chiffrement AES-256-GCM côté client (le serveur ne voit jamais le texte en clair), à la suppression automatique à la limite de consultations ou à l'expiration, et à l'absence de stockage persistant de données sensibles au-delà du TTL configuré.
- CC6.1 — Chiffrement des données en transit et au repos
- CC6.7 — Restriction de la transmission des données aux parties autorisées
- CC6.5 — Élimination sécurisée des données confidentielles
HIPAA
HIPAA exige que les informations de santé protégées électroniques (ePHI) soient transmises de manière sécurisée. Bien que Vaulted ne soit pas une covered entity, son architecture zero-knowledge fait que les identifiants partagés via Vaulted sont chiffrés avant de quitter le navigateur. Le serveur n'a jamais accès au texte en clair, et les secrets s'autodétruisent après usage.
- §164.312(a)(1) — Contrôle d'accès via les limites de consultations et l'expiration
- §164.312(e)(1) — Sécurité de la transmission via le chiffrement côté client
- §164.312(c)(1) — Contrôles d'intégrité via le chiffrement authentifié (GCM)
GDPR
Le GDPR exige la minimisation des données et la limitation des finalités pour les données personnelles. Vaulted ne collecte aucun compte utilisateur, aucun journal d'IP et aucune analytique sur le contenu des secrets. Les secrets sont automatiquement supprimés à la limite de consultations ou à l'expiration — il n'y a aucune donnée personnelle durable à gérer, exporter ou supprimer.
- Art. 5(1)(c) — Minimisation des données : pas de comptes, pas de journalisation d'IP
- Art. 5(1)(e) — Limitation de la conservation : suppression automatique basée sur le TTL
- Art. 32 — Sécurité du traitement : chiffrement AES-256-GCM
ISO 27001
L'annexe A de l'ISO 27001 exige des contrôles cryptographiques et un transfert sécurisé de l'information. Vaulted utilise AES-256-GCM (NIST SP 800-38D) avec des clés qui ne quittent jamais le navigateur. L'architecture zero-knowledge fait qu'une compromission complète du serveur ne livre que du texte chiffré.
- A.10.1.1 — Contrôles cryptographiques : AES-256-GCM via la Web Crypto API
- A.13.2.1 — Transfert sécurisé de l'information : architecture zero-knowledge
- A.8.3.2 — Élimination des supports : suppression automatique des secrets à l'expiration
Une note sur la conformité
La conformité dépend de l'ensemble de ta stack technologique et de tes contrôles organisationnels — aucun outil isolé ne peut te rendre conforme. Vaulted fournit une base cryptographique solide pour le partage sécurisé d'identifiants, mais tu devrais l'évaluer dans le cadre de ton programme de conformité plus large. Pour les détails sur le fonctionnement du chiffrement, consulte la page sécurité.