Uyumluluk

Vaulted bir uyumluluk platformu değildir; ancak zero-knowledge mimarisi, önde gelen uyumluluk çerçevelerinin gerektirdiği güvenlik kontrolleriyle örtüşmektedir.

Tasarım gereği zero-knowledge

Vaulted, herhangi bir veri cihazından ayrılmadan önce her sırrı tarayıcında şifreler. Sunucu yalnızca şifreli metin ve meta verileri saklar. Düz metnini hiçbir zaman görmeyiz ve onu çözme mekanizmamız yoktur. Bu bir politika değil — mimari bir kısıtlamadır.

İhlal edilecek veri yok

Sırlar, görüntüleme limiti dolduğunda veya son kullanma süresi geçtiğinde otomatik olarak silinir. Kullanıcı hesabı, IP kaydı veya sır içeriğine ilişkin analitik bulunmaz. Sunucunun tamamen ele geçirilmesi durumunda yalnızca karşılık gelen anahtarları olmayan şifreli bloblar elde edilir.

Çerçeve uyumu

SOC 2 Type II

SOC 2, müşteri verilerinin gizliliği ve güvenliği konusunda kontroller gerektirir. Vaulted bunu istemci taraflı AES-256-GCM şifreleme (sunucu hiçbir zaman düz metni görmez), görüntüleme limitine veya son kullanma tarihine ulaşıldığında otomatik silme ve yapılandırılmış TTL'yi aşan hassas verilerin kalıcı depolanmaması ile destekler.

  • CC6.1 — İletim ve beklemedeki verilerin şifrelenmesi
  • CC6.7 — Veri iletiminin yalnızca yetkili taraflarla kısıtlanması
  • CC6.5 — Gizli verilerin güvenli şekilde imha edilmesi

HIPAA

HIPAA, elektronik korumalı sağlık bilgilerinin (ePHI) güvenli biçimde iletilmesini gerektirir. Vaulted bir covered entity olmasa da zero-knowledge mimarisi, Vaulted aracılığıyla paylaşılan kimlik bilgilerinin tarayıcıdan ayrılmadan önce şifrelenmesi anlamına gelir. Sunucunun düz metne erişimi hiçbir zaman yoktur ve sırlar kullanımdan sonra otomatik olarak silinir.

  • §164.312(a)(1) — Görüntüleme limitleri ve son kullanma tarihleri aracılığıyla erişim kontrolü
  • §164.312(e)(1) — İstemci taraflı şifreleme ile iletim güvenliği
  • §164.312(c)(1) — Kimlik doğrulamalı şifreleme (GCM) ile bütünlük kontrolleri

GDPR

GDPR, kişisel veriler için veri minimizasyonu ve amaç sınırlaması gerektirir. Vaulted kullanıcı hesabı, IP kaydı veya sır içeriğine ilişkin analitik toplamaz. Sırlar, görüntüleme limitine veya son kullanma tarihine ulaşıldığında otomatik olarak silinir — yönetilecek, dışa aktarılacak veya silinecek uzun ömürlü kişisel veri bulunmaz.

  • Mad. 5(1)(c) — Veri minimizasyonu: hesap yok, IP kaydı yok
  • Mad. 5(1)(e) — Depolama sınırlaması: TTL tabanlı otomatik silme
  • Mad. 32 — İşleme güvenliği: AES-256-GCM şifreleme

ISO 27001

ISO 27001 Ek A, kriptografik kontroller ve güvenli bilgi transferi gerektirir. Vaulted, tarayıcıdan hiçbir zaman ayrılmayan anahtarlarla AES-256-GCM (NIST SP 800-38D) kullanır. Zero-knowledge mimarisi, sunucunun tamamen ele geçirilmesinin yalnızca şifreli metin ürettiği anlamına gelir.

  • A.10.1.1 — Kriptografik kontroller: Web Crypto API üzerinden AES-256-GCM
  • A.13.2.1 — Güvenli bilgi transferi: zero-knowledge mimarisi
  • A.8.3.2 — Ortam imhası: son kullanma tarihinde sırların otomatik silinmesi

Uyumluluk hakkında bir not

Uyumluluk, tam teknoloji yığınına ve kurumsal kontrollere bağlıdır — hiçbir tek araç seni uyumlu kılamaz. Vaulted, güvenli kimlik bilgisi paylaşımı için güçlü bir kriptografik temel sağlar; ancak bunu daha geniş uyumluluk programının bir parçası olarak değerlendirmelisin. Şifrelemenin nasıl çalıştığına dair ayrıntılar için güvenlik sayfasına bakabilirsin.