Kepatuhan
Vaulted bukan platform kepatuhan, tetapi arsitektur zero-knowledge-nya selaras dengan kontrol keamanan yang diharuskan oleh kerangka kepatuhan utama.
Zero-knowledge berdasarkan desain
Vaulted mengenkripsi setiap rahasia di browsermu sebelum data apa pun meninggalkan perangkatmu. Server hanya menyimpan ciphertext dan metadata. Kami tidak pernah melihat plaintext-mu, dan kami tidak memiliki mekanisme untuk mendekripsinya. Ini bukan kebijakan — ini adalah batasan arsitektur.
Tidak ada data yang bisa dilanggar
Rahasia terhapus otomatis saat batas tampilan tercapai atau masa berlaku habis. Tidak ada akun pengguna, tidak ada log IP, dan tidak ada analitik pada konten rahasia. Kompromi server secara penuh hanya menghasilkan blob terenkripsi tanpa kunci yang sesuai.
Keselarasan kerangka kerja
SOC 2 Type II
SOC 2 mengharuskan kontrol seputar kerahasiaan dan keamanan data pelanggan. Vaulted mendukung ini melalui enkripsi AES-256-GCM sisi klien (server tidak pernah melihat plaintext), penghapusan otomatis saat batas tampilan atau masa berlaku tercapai, serta tidak adanya penyimpanan persisten data sensitif di luar TTL yang dikonfigurasi.
- CC6.1 — Enkripsi data dalam transit dan saat diam
- CC6.7 — Pembatasan transmisi data kepada pihak yang berwenang
- CC6.5 — Pemusnahan data rahasia yang aman
HIPAA
HIPAA mengharuskan bahwa informasi kesehatan elektronik yang dilindungi (ePHI) ditransmisikan dengan aman. Meskipun Vaulted bukan covered entity, arsitektur zero-knowledge-nya berarti kredensial yang dibagikan melalui Vaulted dienkripsi sebelum meninggalkan browser. Server tidak pernah memiliki akses ke plaintext, dan rahasia terhapus otomatis setelah digunakan.
- §164.312(a)(1) — Kontrol akses melalui batas tampilan dan masa berlaku
- §164.312(e)(1) — Keamanan transmisi melalui enkripsi sisi klien
- §164.312(c)(1) — Kontrol integritas melalui enkripsi terautentikasi (GCM)
GDPR
GDPR mengharuskan minimisasi data dan pembatasan tujuan untuk data pribadi. Vaulted tidak mengumpulkan akun pengguna, tidak ada log IP, dan tidak ada analitik pada konten rahasia. Rahasia dihapus otomatis saat batas tampilan atau masa berlaku habis — tidak ada data pribadi yang bertahan lama untuk dikelola, diekspor, atau dihapus.
- Art. 5(1)(c) — Minimisasi data: tanpa akun, tanpa pencatatan IP
- Art. 5(1)(e) — Pembatasan penyimpanan: penghapusan otomatis berbasis TTL
- Art. 32 — Keamanan pemrosesan: enkripsi AES-256-GCM
ISO 27001
Lampiran A ISO 27001 mengharuskan kontrol kriptografi dan transfer informasi yang aman. Vaulted menggunakan AES-256-GCM (NIST SP 800-38D) dengan kunci yang tidak pernah meninggalkan browser. Arsitektur zero-knowledge berarti kompromi server secara penuh hanya menghasilkan ciphertext terenkripsi.
- A.10.1.1 — Kontrol kriptografi: AES-256-GCM melalui Web Crypto API
- A.13.2.1 — Transfer informasi yang aman: arsitektur zero-knowledge
- A.8.3.2 — Pemusnahan media: penghapusan rahasia otomatis saat masa berlaku habis
Catatan tentang kepatuhan
Kepatuhan bergantung pada keseluruhan tumpukan teknologi dan kontrol organisasimu — tidak ada satu alat pun yang bisa membuatmu patuh. Vaulted menyediakan fondasi kriptografi yang kuat untuk berbagi kredensial secara aman, tetapi kamu harus mengevaluasinya sebagai bagian dari program kepatuhan yang lebih luas. Untuk detail tentang cara kerja enkripsi, lihat halaman keamanan.