Conformidade
O Vaulted não é uma plataforma de conformidade, mas sua arquitetura zero-knowledge se alinha aos controles de segurança exigidos pelos principais frameworks de conformidade.
Zero-knowledge por design
O Vaulted criptografa cada segredo no seu navegador antes de qualquer dado sair do seu dispositivo. O servidor armazena apenas texto cifrado e metadados. Nunca vemos o seu texto simples e não temos nenhum mecanismo para descriptografá-lo. Isso não é uma política — é uma restrição arquitetural.
Sem dados para vazar
Os segredos se autoexcluem quando o limite de visualizações é atingido ou a expiração passa. Não há contas de usuário, nem registros de IP, nem analytics sobre o conteúdo dos segredos. Um comprometimento total do servidor revela apenas blobs criptografados sem as chaves correspondentes.
Alinhamento com os frameworks
SOC 2 Type II
O SOC 2 exige controles sobre a confidencialidade e a segurança dos dados dos clientes. O Vaulted dá suporte a isso por meio de criptografia AES-256-GCM no lado do cliente (o servidor nunca vê o texto simples), exclusão automática ao atingir o limite de visualizações ou a expiração, e a ausência de armazenamento persistente de dados sensíveis além do TTL configurado.
- CC6.1 — Criptografia de dados em trânsito e em repouso
- CC6.7 — Restrição da transmissão de dados às partes autorizadas
- CC6.5 — Descarte seguro de dados confidenciais
HIPAA
O HIPAA exige que as informações de saúde protegidas em formato eletrônico (ePHI) sejam transmitidas de forma segura. Embora o Vaulted não seja uma entidade coberta, sua arquitetura zero-knowledge significa que as credenciais compartilhadas pelo Vaulted são criptografadas antes de sair do navegador. O servidor nunca tem acesso ao texto simples e os segredos se autoexcluem após o uso.
- §164.312(a)(1) — Controle de acesso por meio de limites de visualização e expiração
- §164.312(e)(1) — Segurança na transmissão por meio de criptografia no lado do cliente
- §164.312(c)(1) — Controles de integridade por meio de criptografia autenticada (GCM)
GDPR
O GDPR exige a minimização de dados e a limitação de finalidade para dados pessoais. O Vaulted não coleta contas de usuário, nem registros de IP, nem analytics sobre o conteúdo dos segredos. Os segredos são automaticamente excluídos ao atingir o limite de visualizações ou a expiração — não há dados pessoais de longa duração para gerenciar, exportar ou excluir.
- Art. 5(1)(c) — Minimização de dados: sem contas, sem registro de IP
- Art. 5(1)(e) — Limitação de armazenamento: exclusão automática baseada em TTL
- Art. 32 — Segurança do tratamento: criptografia AES-256-GCM
ISO 27001
O Anexo A da ISO 27001 exige controles criptográficos e transferência segura de informações. O Vaulted usa AES-256-GCM (NIST SP 800-38D) com chaves que nunca saem do navegador. A arquitetura zero-knowledge significa que um comprometimento total do servidor revela apenas texto cifrado.
- A.10.1.1 — Controles criptográficos: AES-256-GCM via Web Crypto API
- A.13.2.1 — Transferência segura de informações: arquitetura zero-knowledge
- A.8.3.2 — Descarte de mídia: exclusão automática de segredos na expiração
Uma nota sobre conformidade
A conformidade depende de toda a sua stack tecnológica e dos seus controles organizacionais — nenhuma ferramenta sozinha pode tornar você conforme. O Vaulted fornece uma base criptográfica sólida para o compartilhamento seguro de credenciais, mas você deve avaliá-lo como parte do seu programa de conformidade mais amplo. Para detalhes sobre como a criptografia funciona, consulte a página de segurança.