Compliance
Vaulted nie jest platformą compliance, ale jego architektura zero-knowledge jest zgodna z mechanizmami kontroli bezpieczeństwa wymaganymi przez główne frameworki compliance.
Zero-knowledge by design
Vaulted szyfruje każdy sekret w twojej przeglądarce, zanim jakiekolwiek dane opuszczą twoje urządzenie. Serwer przechowuje wyłącznie szyfrogram i metadane. Nigdy nie widzimy twojego tekstu jawnego i nie mamy mechanizmu jego odszyfrowania. To nie jest polityka — to ograniczenie architektoniczne.
Brak danych do wykradzenia
Sekrety są automatycznie usuwane po osiągnięciu limitu wyświetleń lub upływie czasu ważności. Nie ma kont użytkowników, logów IP ani analizy treści sekretów. Pełne przejęcie serwera daje jedynie zaszyfrowane bloby bez odpowiadających im kluczy.
Zgodność z frameworkami
SOC 2 Type II
SOC 2 wymaga mechanizmów kontroli poufności i bezpieczeństwa danych klientów. Vaulted spełnia te wymagania poprzez szyfrowanie AES-256-GCM po stronie klienta (serwer nigdy nie widzi tekstu jawnego), automatyczne usuwanie po osiągnięciu limitu wyświetleń lub wygaśnięciu oraz brak trwałego przechowywania wrażliwych danych poza skonfigurowanym TTL.
- CC6.1 — Szyfrowanie danych w tranzycie i w spoczynku
- CC6.7 — Ograniczenie transmisji danych do autoryzowanych stron
- CC6.5 — Bezpieczne usuwanie danych poufnych
HIPAA
HIPAA wymaga bezpiecznego przesyłania elektronicznych chronionych informacji zdrowotnych (ePHI). Choć Vaulted nie jest podmiotem objętym przepisami, jego architektura zero-knowledge oznacza, że dane uwierzytelniające udostępniane przez Vaulted są szyfrowane przed opuszczeniem przeglądarki. Serwer nigdy nie ma dostępu do tekstu jawnego, a sekrety są automatycznie usuwane po użyciu.
- §164.312(a)(1) — Kontrola dostępu za pomocą limitów wyświetleń i czasu ważności
- §164.312(e)(1) — Bezpieczeństwo transmisji poprzez szyfrowanie po stronie klienta
- §164.312(c)(1) — Kontrola integralności za pomocą uwierzytelnionego szyfrowania (GCM)
GDPR
RODO wymaga minimalizacji danych i ograniczenia celu w przypadku danych osobowych. Vaulted nie zbiera kont użytkowników, logów IP ani analityki treści sekretów. Sekrety są automatycznie usuwane po osiągnięciu limitu wyświetleń lub wygaśnięciu — nie ma długotrwałych danych osobowych do zarządzania, eksportu ani usunięcia.
- Art. 5(1)(c) — Minimalizacja danych: brak kont, brak logowania IP
- Art. 5(1)(e) — Ograniczenie przechowywania: automatyczne usuwanie na podstawie TTL
- Art. 32 — Bezpieczeństwo przetwarzania: szyfrowanie AES-256-GCM
ISO 27001
ISO 27001 Załącznik A wymaga kryptograficznych mechanizmów kontroli i bezpiecznego przesyłania informacji. Vaulted używa AES-256-GCM (NIST SP 800-38D) z kluczami, które nigdy nie opuszczają przeglądarki. Architektura zero-knowledge oznacza, że pełne przejęcie serwera daje jedynie zaszyfrowany szyfrogram.
- A.10.1.1 — Kryptograficzne mechanizmy kontroli: AES-256-GCM via Web Crypto API
- A.13.2.1 — Bezpieczne przesyłanie informacji: architektura zero-knowledge
- A.8.3.2 — Utylizacja nośników: automatyczne usuwanie sekretów po wygaśnięciu
Uwaga dotycząca compliance
Compliance zależy od całego stosu technologicznego i organizacyjnych mechanizmów kontroli — żadne pojedyncze narzędzie nie zapewni ci zgodności. Vaulted zapewnia solidne podstawy kryptograficzne do bezpiecznego udostępniania danych uwierzytelniających, ale powinieneś oceniać je jako część szerszego programu compliance. Szczegółowe informacje o działaniu szyfrowania znajdziesz na stronie bezpieczeństwa.