Conformidade

O Vaulted não é uma plataforma de conformidade, mas sua arquitetura zero-knowledge se alinha aos controles de segurança exigidos pelos principais frameworks de conformidade.

Zero-knowledge por design

O Vaulted criptografa cada segredo no seu navegador antes de qualquer dado sair do seu dispositivo. O servidor armazena apenas texto cifrado e metadados. Nunca vemos o seu texto simples e não temos nenhum mecanismo para descriptografá-lo. Isso não é uma política — é uma restrição arquitetural.

Sem dados para vazar

Os segredos se autoexcluem quando o limite de visualizações é atingido ou a expiração passa. Não há contas de usuário, nem registros de IP, nem analytics sobre o conteúdo dos segredos. Um comprometimento total do servidor revela apenas blobs criptografados sem as chaves correspondentes.

Alinhamento com os frameworks

SOC 2 Type II

O SOC 2 exige controles sobre a confidencialidade e a segurança dos dados dos clientes. O Vaulted dá suporte a isso por meio de criptografia AES-256-GCM no lado do cliente (o servidor nunca vê o texto simples), exclusão automática ao atingir o limite de visualizações ou a expiração, e a ausência de armazenamento persistente de dados sensíveis além do TTL configurado.

  • CC6.1 — Criptografia de dados em trânsito e em repouso
  • CC6.7 — Restrição da transmissão de dados às partes autorizadas
  • CC6.5 — Descarte seguro de dados confidenciais

HIPAA

O HIPAA exige que as informações de saúde protegidas em formato eletrônico (ePHI) sejam transmitidas de forma segura. Embora o Vaulted não seja uma entidade coberta, sua arquitetura zero-knowledge significa que as credenciais compartilhadas pelo Vaulted são criptografadas antes de sair do navegador. O servidor nunca tem acesso ao texto simples e os segredos se autoexcluem após o uso.

  • §164.312(a)(1) — Controle de acesso por meio de limites de visualização e expiração
  • §164.312(e)(1) — Segurança na transmissão por meio de criptografia no lado do cliente
  • §164.312(c)(1) — Controles de integridade por meio de criptografia autenticada (GCM)

GDPR

O GDPR exige a minimização de dados e a limitação de finalidade para dados pessoais. O Vaulted não coleta contas de usuário, nem registros de IP, nem analytics sobre o conteúdo dos segredos. Os segredos são automaticamente excluídos ao atingir o limite de visualizações ou a expiração — não há dados pessoais de longa duração para gerenciar, exportar ou excluir.

  • Art. 5(1)(c) — Minimização de dados: sem contas, sem registro de IP
  • Art. 5(1)(e) — Limitação de armazenamento: exclusão automática baseada em TTL
  • Art. 32 — Segurança do tratamento: criptografia AES-256-GCM

ISO 27001

O Anexo A da ISO 27001 exige controles criptográficos e transferência segura de informações. O Vaulted usa AES-256-GCM (NIST SP 800-38D) com chaves que nunca saem do navegador. A arquitetura zero-knowledge significa que um comprometimento total do servidor revela apenas texto cifrado.

  • A.10.1.1 — Controles criptográficos: AES-256-GCM via Web Crypto API
  • A.13.2.1 — Transferência segura de informações: arquitetura zero-knowledge
  • A.8.3.2 — Descarte de mídia: exclusão automática de segredos na expiração

Uma nota sobre conformidade

A conformidade depende de toda a sua stack tecnológica e dos seus controles organizacionais — nenhuma ferramenta sozinha pode tornar você conforme. O Vaulted fornece uma base criptográfica sólida para o compartilhamento seguro de credenciais, mas você deve avaliá-lo como parte do seu programa de conformidade mais amplo. Para detalhes sobre como a criptografia funciona, consulte a página de segurança.