Compliance

Vaulted nie jest platformą compliance, ale jego architektura zero-knowledge jest zgodna z mechanizmami kontroli bezpieczeństwa wymaganymi przez główne frameworki compliance.

Zero-knowledge by design

Vaulted szyfruje każdy sekret w twojej przeglądarce, zanim jakiekolwiek dane opuszczą twoje urządzenie. Serwer przechowuje wyłącznie szyfrogram i metadane. Nigdy nie widzimy twojego tekstu jawnego i nie mamy mechanizmu jego odszyfrowania. To nie jest polityka — to ograniczenie architektoniczne.

Brak danych do wykradzenia

Sekrety są automatycznie usuwane po osiągnięciu limitu wyświetleń lub upływie czasu ważności. Nie ma kont użytkowników, logów IP ani analizy treści sekretów. Pełne przejęcie serwera daje jedynie zaszyfrowane bloby bez odpowiadających im kluczy.

Zgodność z frameworkami

SOC 2 Type II

SOC 2 wymaga mechanizmów kontroli poufności i bezpieczeństwa danych klientów. Vaulted spełnia te wymagania poprzez szyfrowanie AES-256-GCM po stronie klienta (serwer nigdy nie widzi tekstu jawnego), automatyczne usuwanie po osiągnięciu limitu wyświetleń lub wygaśnięciu oraz brak trwałego przechowywania wrażliwych danych poza skonfigurowanym TTL.

  • CC6.1 — Szyfrowanie danych w tranzycie i w spoczynku
  • CC6.7 — Ograniczenie transmisji danych do autoryzowanych stron
  • CC6.5 — Bezpieczne usuwanie danych poufnych

HIPAA

HIPAA wymaga bezpiecznego przesyłania elektronicznych chronionych informacji zdrowotnych (ePHI). Choć Vaulted nie jest podmiotem objętym przepisami, jego architektura zero-knowledge oznacza, że dane uwierzytelniające udostępniane przez Vaulted są szyfrowane przed opuszczeniem przeglądarki. Serwer nigdy nie ma dostępu do tekstu jawnego, a sekrety są automatycznie usuwane po użyciu.

  • §164.312(a)(1) — Kontrola dostępu za pomocą limitów wyświetleń i czasu ważności
  • §164.312(e)(1) — Bezpieczeństwo transmisji poprzez szyfrowanie po stronie klienta
  • §164.312(c)(1) — Kontrola integralności za pomocą uwierzytelnionego szyfrowania (GCM)

GDPR

RODO wymaga minimalizacji danych i ograniczenia celu w przypadku danych osobowych. Vaulted nie zbiera kont użytkowników, logów IP ani analityki treści sekretów. Sekrety są automatycznie usuwane po osiągnięciu limitu wyświetleń lub wygaśnięciu — nie ma długotrwałych danych osobowych do zarządzania, eksportu ani usunięcia.

  • Art. 5(1)(c) — Minimalizacja danych: brak kont, brak logowania IP
  • Art. 5(1)(e) — Ograniczenie przechowywania: automatyczne usuwanie na podstawie TTL
  • Art. 32 — Bezpieczeństwo przetwarzania: szyfrowanie AES-256-GCM

ISO 27001

ISO 27001 Załącznik A wymaga kryptograficznych mechanizmów kontroli i bezpiecznego przesyłania informacji. Vaulted używa AES-256-GCM (NIST SP 800-38D) z kluczami, które nigdy nie opuszczają przeglądarki. Architektura zero-knowledge oznacza, że pełne przejęcie serwera daje jedynie zaszyfrowany szyfrogram.

  • A.10.1.1 — Kryptograficzne mechanizmy kontroli: AES-256-GCM via Web Crypto API
  • A.13.2.1 — Bezpieczne przesyłanie informacji: architektura zero-knowledge
  • A.8.3.2 — Utylizacja nośników: automatyczne usuwanie sekretów po wygaśnięciu

Uwaga dotycząca compliance

Compliance zależy od całego stosu technologicznego i organizacyjnych mechanizmów kontroli — żadne pojedyncze narzędzie nie zapewni ci zgodności. Vaulted zapewnia solidne podstawy kryptograficzne do bezpiecznego udostępniania danych uwierzytelniających, ale powinieneś oceniać je jako część szerszego programu compliance. Szczegółowe informacje o działaniu szyfrowania znajdziesz na stronie bezpieczeństwa.