Compliance

Vaultedはコンプライアンスプラットフォームではありませんが、そのゼロ知識アーキテクチャは主要なコンプライアンスフレームワークが求めるセキュリティ管理と整合しています。

ゼロ知識 by Design

Vaultedはデバイスからデータが送信される前に、ブラウザ内ですべてのシークレットを暗号化します。サーバーには暗号文とメタデータのみが保存されます。平文を見ることはなく、復号する手段もありません。これはポリシーではなく、アーキテクチャ上の制約です。

盗まれるデータがない

シークレットは閲覧制限に達するか、有効期限が切れると自動的に削除されます。ユーザーアカウント、IPログ、シークレット内容の分析はありません。サーバーが完全に侵害されても、対応する鍵のない暗号化されたblobしか取得できません。

フレームワークへの適合

SOC 2 Type II

SOC 2は顧客データの機密性とセキュリティに関する管理を要求します。VaultedはクライアントサイドのAES-256-GCM暗号化(サーバーが平文を見ることはない)、閲覧制限または有効期限到達時の自動削除、設定されたTTLを超えた機密データの永続的な保存なし、によってこれをサポートします。

  • CC6.1 — 転送中および保存中のデータの暗号化
  • CC6.7 — 許可された当事者へのデータ転送の制限
  • CC6.5 — 機密データの安全な廃棄

HIPAA

HIPAAは電子的保護健康情報(ePHI)が安全に転送されることを要求します。Vaultedはカバードエンティティではありませんが、そのゼロ知識アーキテクチャにより、Vaulted経由で共有された認証情報はブラウザを離れる前に暗号化されます。サーバーが平文にアクセスすることはなく、シークレットは使用後に自動削除されます。

  • §164.312(a)(1) — 閲覧制限と有効期限によるアクセス制御
  • §164.312(e)(1) — クライアントサイド暗号化による転送セキュリティ
  • §164.312(c)(1) — 認証付き暗号化(GCM)による完全性管理

GDPR

GDPRは個人データに対するデータ最小化と目的制限を要求します。Vaultedはユーザーアカウント、IPログ、シークレット内容の分析を一切収集しません。シークレットは閲覧制限または有効期限到達時に自動削除され、管理、エクスポート、削除が必要な長期的な個人データは存在しません。

  • Art. 5(1)(c) — データ最小化:アカウントなし、IPロギングなし
  • Art. 5(1)(e) — 保存制限:TTLベースの自動削除
  • Art. 32 — 処理のセキュリティ:AES-256-GCM暗号化

ISO 27001

ISO 27001 附属書Aは暗号化管理と安全な情報転送を要求します。VaultedはAES-256-GCM(NIST SP 800-38D)を使用し、鍵はブラウザの外に出ません。ゼロ知識アーキテクチャにより、サーバーが完全に侵害されても暗号化された暗号文しか取得できません。

  • A.10.1.1 — 暗号化管理:Web Crypto API経由のAES-256-GCM
  • A.13.2.1 — 安全な情報転送:ゼロ知識アーキテクチャ
  • A.8.3.2 — メディアの廃棄:有効期限時のシークレット自動削除

コンプライアンスに関する注記

コンプライアンスはテクノロジースタック全体と組織的な管理に依存します。単一のツールでコンプライアンスを達成することはできません。Vaultedは安全な認証情報共有のための強固な暗号化基盤を提供しますが、より広範なコンプライアンスプログラムの一部として評価してください。暗号化の仕組みの詳細については、セキュリティページをご覧ください。