Uyumluluk
Vaulted bir uyumluluk platformu değildir; ancak zero-knowledge mimarisi, önde gelen uyumluluk çerçevelerinin gerektirdiği güvenlik kontrolleriyle örtüşmektedir.
Tasarım gereği zero-knowledge
Vaulted, herhangi bir veri cihazından ayrılmadan önce her sırrı tarayıcında şifreler. Sunucu yalnızca şifreli metin ve meta verileri saklar. Düz metnini hiçbir zaman görmeyiz ve onu çözme mekanizmamız yoktur. Bu bir politika değil — mimari bir kısıtlamadır.
İhlal edilecek veri yok
Sırlar, görüntüleme limiti dolduğunda veya son kullanma süresi geçtiğinde otomatik olarak silinir. Kullanıcı hesabı, IP kaydı veya sır içeriğine ilişkin analitik bulunmaz. Sunucunun tamamen ele geçirilmesi durumunda yalnızca karşılık gelen anahtarları olmayan şifreli bloblar elde edilir.
Çerçeve uyumu
SOC 2 Type II
SOC 2, müşteri verilerinin gizliliği ve güvenliği konusunda kontroller gerektirir. Vaulted bunu istemci taraflı AES-256-GCM şifreleme (sunucu hiçbir zaman düz metni görmez), görüntüleme limitine veya son kullanma tarihine ulaşıldığında otomatik silme ve yapılandırılmış TTL'yi aşan hassas verilerin kalıcı depolanmaması ile destekler.
- CC6.1 — İletim ve beklemedeki verilerin şifrelenmesi
- CC6.7 — Veri iletiminin yalnızca yetkili taraflarla kısıtlanması
- CC6.5 — Gizli verilerin güvenli şekilde imha edilmesi
HIPAA
HIPAA, elektronik korumalı sağlık bilgilerinin (ePHI) güvenli biçimde iletilmesini gerektirir. Vaulted bir covered entity olmasa da zero-knowledge mimarisi, Vaulted aracılığıyla paylaşılan kimlik bilgilerinin tarayıcıdan ayrılmadan önce şifrelenmesi anlamına gelir. Sunucunun düz metne erişimi hiçbir zaman yoktur ve sırlar kullanımdan sonra otomatik olarak silinir.
- §164.312(a)(1) — Görüntüleme limitleri ve son kullanma tarihleri aracılığıyla erişim kontrolü
- §164.312(e)(1) — İstemci taraflı şifreleme ile iletim güvenliği
- §164.312(c)(1) — Kimlik doğrulamalı şifreleme (GCM) ile bütünlük kontrolleri
GDPR
GDPR, kişisel veriler için veri minimizasyonu ve amaç sınırlaması gerektirir. Vaulted kullanıcı hesabı, IP kaydı veya sır içeriğine ilişkin analitik toplamaz. Sırlar, görüntüleme limitine veya son kullanma tarihine ulaşıldığında otomatik olarak silinir — yönetilecek, dışa aktarılacak veya silinecek uzun ömürlü kişisel veri bulunmaz.
- Mad. 5(1)(c) — Veri minimizasyonu: hesap yok, IP kaydı yok
- Mad. 5(1)(e) — Depolama sınırlaması: TTL tabanlı otomatik silme
- Mad. 32 — İşleme güvenliği: AES-256-GCM şifreleme
ISO 27001
ISO 27001 Ek A, kriptografik kontroller ve güvenli bilgi transferi gerektirir. Vaulted, tarayıcıdan hiçbir zaman ayrılmayan anahtarlarla AES-256-GCM (NIST SP 800-38D) kullanır. Zero-knowledge mimarisi, sunucunun tamamen ele geçirilmesinin yalnızca şifreli metin ürettiği anlamına gelir.
- A.10.1.1 — Kriptografik kontroller: Web Crypto API üzerinden AES-256-GCM
- A.13.2.1 — Güvenli bilgi transferi: zero-knowledge mimarisi
- A.8.3.2 — Ortam imhası: son kullanma tarihinde sırların otomatik silinmesi
Uyumluluk hakkında bir not
Uyumluluk, tam teknoloji yığınına ve kurumsal kontrollere bağlıdır — hiçbir tek araç seni uyumlu kılamaz. Vaulted, güvenli kimlik bilgisi paylaşımı için güçlü bir kriptografik temel sağlar; ancak bunu daha geniş uyumluluk programının bir parçası olarak değerlendirmelisin. Şifrelemenin nasıl çalıştığına dair ayrıntılar için güvenlik sayfasına bakabilirsin.