Compliance
Vaulted non è una piattaforma di compliance, ma la sua architettura zero-knowledge si allinea ai controlli di sicurezza richiesti dai principali framework di conformità.
Zero-knowledge by design
Vaulted cifra ogni segreto nel tuo browser prima che qualsiasi dato lasci il tuo dispositivo. Il server conserva solo il testo cifrato e i metadati. Non vediamo mai il tuo testo in chiaro e non disponiamo di alcun meccanismo per decifrarlo. Non è una politica — è un vincolo architetturale.
Nessun dato da violare
I segreti si eliminano automaticamente quando viene raggiunto il limite di visualizzazioni o scade il termine. Non esistono account utente, nessun log degli IP e nessuna analisi sul contenuto dei segreti. Una compromissione completa del server produce solo blob cifrati senza le chiavi corrispondenti.
Allineamento ai framework
SOC 2 Type II
SOC 2 richiede controlli sulla riservatezza e la sicurezza dei dati dei clienti. Vaulted supporta questo attraverso la crittografia client-side AES-256-GCM (il server non vede mai il testo in chiaro), la cancellazione automatica al raggiungimento del limite di visualizzazioni o della scadenza, e l'assenza di storage persistente di dati sensibili oltre il TTL configurato.
- CC6.1 — Crittografia dei dati in transito e a riposo
- CC6.7 — Limitazione della trasmissione dei dati alle parti autorizzate
- CC6.5 — Eliminazione sicura dei dati riservati
HIPAA
HIPAA richiede che le informazioni sanitarie protette in formato elettronico (ePHI) vengano trasmesse in modo sicuro. Sebbene Vaulted non sia una covered entity, la sua architettura zero-knowledge garantisce che le credenziali condivise tramite Vaulted vengano cifrate prima di lasciare il browser. Il server non ha mai accesso al testo in chiaro e i segreti si eliminano automaticamente dopo l'uso.
- §164.312(a)(1) — Controllo degli accessi tramite limiti di visualizzazione e scadenza
- §164.312(e)(1) — Sicurezza della trasmissione tramite crittografia client-side
- §164.312(c)(1) — Controlli di integrità tramite crittografia autenticata (GCM)
GDPR
Il GDPR richiede la minimizzazione dei dati e la limitazione delle finalità per i dati personali. Vaulted non raccoglie account utente, nessun log degli IP e nessuna analisi sul contenuto dei segreti. I segreti vengono eliminati automaticamente al raggiungimento del limite di visualizzazioni o della scadenza — non esistono dati personali a lungo termine da gestire, esportare o cancellare.
- Art. 5(1)(c) — Minimizzazione dei dati: nessun account, nessun IP logging
- Art. 5(1)(e) — Limitazione della conservazione: cancellazione automatica basata su TTL
- Art. 32 — Sicurezza del trattamento: crittografia AES-256-GCM
ISO 27001
ISO 27001 Allegato A richiede controlli crittografici e trasferimento sicuro delle informazioni. Vaulted utilizza AES-256-GCM (NIST SP 800-38D) con chiavi che non lasciano mai il browser. L'architettura zero-knowledge significa che una compromissione completa del server produce solo testo cifrato.
- A.10.1.1 — Controlli crittografici: AES-256-GCM tramite Web Crypto API
- A.13.2.1 — Trasferimento sicuro delle informazioni: architettura zero-knowledge
- A.8.3.2 — Smaltimento dei supporti: cancellazione automatica dei segreti alla scadenza
Una nota sulla compliance
La compliance dipende dall'intero stack tecnologico e dai controlli organizzativi — nessuno strumento da solo può renderti conforme. Vaulted fornisce una solida base crittografica per la condivisione sicura delle credenziali, ma dovresti valutarlo come parte del tuo programma di compliance più ampio. Per i dettagli sul funzionamento della crittografia, consulta la pagina sulla sicurezza.