컴플라이언스
Vaulted는 컴플라이언스 플랫폼이 아니지만, 주요 컴플라이언스 프레임워크에서 요구하는 보안 통제와 zero-knowledge 아키텍처가 잘 부합합니다.
설계 단계부터 Zero-knowledge
Vaulted는 데이터가 기기를 떠나기 전에 브라우저에서 모든 시크릿을 암호화합니다. 서버는 암호문과 메타데이터만 저장합니다. 우리는 평문을 볼 수 없고 복호화할 수단도 없습니다. 이것은 정책이 아니라 아키텍처상의 제약입니다.
유출될 데이터가 없음
시크릿은 조회 한도에 도달하거나 만료 시간이 지나면 자동으로 삭제됩니다. 사용자 계정, IP 로그, 시크릿 내용 분석은 일체 존재하지 않습니다. 서버가 완전히 침해되더라도 대응하는 키가 없는 암호화된 블롭만 남습니다.
프레임워크 부합성
SOC 2 Type II
SOC 2는 고객 데이터의 기밀성 및 보안에 관한 통제를 요구합니다. Vaulted는 클라이언트 측 AES-256-GCM 암호화(서버는 평문을 절대 보지 않음), 조회 한도 또는 만료 시 자동 삭제, 설정된 TTL을 초과한 민감 데이터의 영구 저장 없음을 통해 이를 지원합니다.
- CC6.1 — 전송 중 및 저장 중 데이터 암호화
- CC6.7 — 인가된 당사자로의 데이터 전송 제한
- CC6.5 — 기밀 데이터의 안전한 폐기
HIPAA
HIPAA는 전자 보호 건강 정보(ePHI)를 안전하게 전송하도록 요구합니다. Vaulted는 covered entity가 아니지만, zero-knowledge 아키텍처로 인해 Vaulted를 통해 공유된 자격 증명은 브라우저를 떠나기 전에 암호화됩니다. 서버는 평문에 접근할 수 없고, 시크릿은 사용 후 자동으로 삭제됩니다.
- §164.312(a)(1) — 조회 한도와 만료를 통한 접근 통제
- §164.312(e)(1) — 클라이언트 측 암호화를 통한 전송 보안
- §164.312(c)(1) — 인증된 암호화(GCM)를 통한 무결성 통제
GDPR
GDPR은 개인 데이터에 대한 데이터 최소화와 목적 제한을 요구합니다. Vaulted는 사용자 계정, IP 로그, 시크릿 내용 분석을 수집하지 않습니다. 시크릿은 조회 한도 또는 만료 시 자동으로 삭제되므로 관리, 내보내기, 삭제해야 할 장기 보관 개인 데이터가 없습니다.
- Art. 5(1)(c) — 데이터 최소화: 계정 없음, IP 로깅 없음
- Art. 5(1)(e) — 저장 제한: 자동 TTL 기반 삭제
- Art. 32 — 처리의 보안: AES-256-GCM 암호화
ISO 27001
ISO 27001 부속서 A는 암호화 통제와 안전한 정보 전송을 요구합니다. Vaulted는 브라우저를 떠나지 않는 키와 함께 AES-256-GCM(NIST SP 800-38D)을 사용합니다. Zero-knowledge 아키텍처는 서버가 완전히 침해되더라도 암호화된 암호문만 남는다는 것을 의미합니다.
- A.10.1.1 — 암호화 통제: Web Crypto API를 통한 AES-256-GCM
- A.13.2.1 — 안전한 정보 전송: zero-knowledge 아키텍처
- A.8.3.2 — 미디어 폐기: 만료 시 자동 시크릿 삭제
컴플라이언스에 관한 참고 사항
컴플라이언스는 전체 기술 스택과 조직의 통제에 따라 달라지므로 단일 도구만으로 컴플라이언스를 달성할 수 없습니다. Vaulted는 안전한 자격 증명 공유를 위한 강력한 암호화 기반을 제공하지만, 더 광범위한 컴플라이언스 프로그램의 일부로 평가해야 합니다. 암호화 작동 방식에 대한 자세한 내용은 보안 페이지를 참고하세요.