O que é Registro de auditoria?
Um registro de auditoria é um histórico cronológico e à prova de adulteração dos eventos e atividades de um sistema — incluindo as ações dos usuários, as tentativas de acesso, as mudanças de configuração e os eventos de segurança — mantido para fins de responsabilização, conformidade regulatória e análise forense.
Também conhecido como: audit trail, security log, activity log
Os registros de auditoria respondem às perguntas fundamentais de uma investigação de segurança: quem fez o quê, sobre qual recurso, quando e a partir de onde. Eles registram eventos como logins de usuários, acessos a dados, mudanças de permissões, chamadas de API, ações administrativas e tentativas falhas de autenticação. Em um incidente de segurança, os registros de auditoria costumam ser a fonte principal de provas para entender o alcance de uma violação e as ações do atacante.
Um registro de auditoria eficaz exige várias propriedades: integridade (todos os eventos relevantes para a segurança são capturados), imutabilidade (os registros não podem ser alterados nem excluídos pelos atores que estão sendo auditados), marcações de tempo de uma fonte confiável, detalhe suficiente (incluindo a identidade, a ação, o recurso-alvo e o resultado) e um armazenamento seguro separado dos sistemas monitorados. Muitos frameworks de conformidade — SOC 2, HIPAA, PCI-DSS, GDPR — exigem requisitos específicos de registro de auditoria.
O desafio dos registros de auditoria é equilibrar a abrangência com a privacidade e o armazenamento. Registrar muito pouco deixa lacunas na capacidade forense. Registrar demais pode gerar problemas de privacidade (especialmente com o princípio de minimização de dados do GDPR), gerar enormes custos de armazenamento e, paradoxalmente, dificultar a localização de eventos relevantes em meio ao ruído. As organizações devem definir o que constitui um evento relevante para a segurança e garantir a captura desses eventos sem coletar excessivamente dados sensíveis.
Como o Vaulted usa Registro de auditoria
A arquitetura zero-knowledge do Vaulted impõe limites deliberados ao que pode ser auditado. O servidor registra metadados operacionais — como as marcações de tempo de criação de segredos, as contagens de visualizações e os eventos de expiração — mas nunca registra o conteúdo criptografado nem as chaves de criptografia, porque nunca os possui. Essa abordagem se alinha com os princípios de minimização de dados: o rastro de auditoria captura o suficiente para monitorar o estado do sistema e detectar padrões de abuso, sem criar um histórico que poderia expor dados sensíveis se os próprios registros fossem comprometidos.