Per l'enterprise
I Suoi agent sono più intelligenti
delle Sue policy.
Un agente AI che comprende il Suo codebase può anche comprendere il Suo modello di controllo degli accessi. La sicurezza basata su policy è una negoziazione con qualcosa che sta diventando sempre più abile nella negoziazione. Clavitor sostituisce la policy con la matematica.
Matematica, non policy
Altre soluzioni aggiungono una casella AI a un vault esistente. L'agente ottiene l'accesso MCP — ricerca, navigazione, scoperta. È più intelligente di Lei. Troverà casi limite nelle Sue policy. Elencherà credenziali che non avrebbe mai dovuto vedere. Non perché sia malevolo — perché è quello che fanno gli agenti quando viene dato loro un endpoint di ricerca e un obiettivo.
Clavitor non concede agli agenti l'accesso al vault. Emette credenziali specifiche a specifici agenti tramite un'API ristretta. Nessuna navigazione. Nessuna scoperta. Nessuna enumerazione. Nessun endpoint di ricerca. L'agente ottiene ciò che gli è stato emesso e non può trovare ciò che non ha. Questa non è un'opzione di configurazione o un interruttore di policy — è così che funziona il protocollo. Non esiste un endpoint rivolto all'agente che restituisca un elenco di credenziali. La funzionalità non esiste nel binario.
Inoltre, ogni token dell'agente è associato a un IP sorgente al primo contatto. La whitelist può essere aggiornata da un amministratore — ma un token rubato utilizzato da un IP non elencato viene rifiutato prima che venga eseguito qualsiasi handler. E ogni agente è soggetto a limitazione della frequenza: più di tre credenziali uniche al minuto o dieci all'ora attivano un throttling. Una seconda violazione entro due ore blocca completamente l'agente — sospeso fino a quando il Suo team di sicurezza non lo sblocca con un tocco hardware. Un agente normale necessita di due o tre credenziali. Un agente che ne legge dieci è mal configurato o compromesso. In entrambi i casi, si ferma.
Il risultato: il raggio d'azione di un agente compromesso è limitato al suo ambito, dal suo IP, a una velocità che attiva il blocco prima che possa verificarsi un'esfiltrazione significativa. Non da una regola che può essere aggirata, ma dall'assenza di un percorso che lo consentirebbe.
Costruito per il Suo team di sicurezza
Confini applicati dall'hardware
Ogni operazione amministrativa — creazione di token per agenti, modifica di ambiti, modifica di elenchi di accesso, revoca di credenziali — richiede una conferma fisica tramite impronta digitale, volto o chiave di sicurezza da parte di una persona autorizzata. Non si tratta di un gate software che un processo privilegiato può aggirare. È una sfida crittografica che richiede un dispositivo registrato nelle mani di qualcuno.
Nessun agente può aumentare i propri permessi. Nessuna workstation compromessa può generare nuovi token. Nessun attacco di ingegneria sociale può indurre qualcuno a concedere l'accesso telefonicamente — è richiesto il tocco hardware, ed è associato all'origine del browser. Il Suo team di sicurezza controlla il confine di fiducia con qualcosa che nessun attaccante può replicare da remoto.
Isolamento crittografico
Il vault di ogni dipendente è un database crittografato separato — non una riga in una tabella condivisa, non uno spazio dei nomi in un archivio multi-tenant. Una violazione di un vault produce ciphertext. La chiave di crittografia non è sul server, non nel backup, non in alcun data center.
Gli ambiti controllano quali voci un agente può vedere. I livelli di crittografia controllano cosa chiunque può decrittografare. Carte di credito e documenti d'identità governativi vengono crittografati automaticamente a livello di identità — solo con chiave hardware, indecifrabile senza il dispositivo fisico. La Sua enterprise può promuovere qualsiasi campo a quel livello: credenziali bancarie, credenziali di approvvigionamento, sistemi HR, chiavi di firma. Questi campi sono ciphertext su ogni server, in ogni backup, in ogni scenario di violazione. Le chiavi di decrittografia non sono co-locate con i dati che proteggono.
Conformità
SOC 2 Tipo II
Controlli verificati per sicurezza, disponibilità e riservatezza. La verifica copre le operazioni infrastrutturali, la gestione degli accessi, la gestione delle chiavi di crittografia e la risposta agli incidenti. Rapporti disponibili sotto NDA per i clienti enterprise che valutano la piattaforma.
ISO 27001
Sistema di gestione della sicurezza delle informazioni certificato. Copre l'intero ciclo di vita — dal provisioning del vault all'emissione delle credenziali fino alla cancellazione e alla conservazione dei backup. L'ambito della certificazione include tutti i Punti di Presenza (POP), l'infrastruttura di amministrazione centrale e la pipeline di sviluppo.
SLA di lettura del 99,99%
99,99% di uptime sulle letture. Failover tra emisferi tra Calgary e Zurigo — due siti scelti per la stabilità geologica e la massima distanza. Se non raggiungiamo l'obiettivo, riceverà un credito di un mese intero sulla Sua prossima fattura. Automatico, nessun modulo di richiesta, nessuna negoziazione. L'SLA è contrattuale, non aspirazionale.
Integrazione
Sincronizzazione directory SCIM
Un dipendente si unisce ad Azure AD, Okta o Google Workspace — vault provisionato automaticamente. Ambiti assegnati in base all'appartenenza al gruppo. Il dipendente lascia l'azienda — vault bloccato, ogni token revocato, ogni agente escluso. Nessuna pulizia manuale, nessun ticket, nessun "qualcuno si è ricordato di ruotare le credenziali".
Il provisioning è in tempo reale, non batch. Il vault di un nuovo assunto è pronto prima del suo laptop. L'accesso di un dipendente che lascia l'azienda è revocato prima che raggiunga il parcheggio.
Integrazione SIEM
Feed in tempo reale a Splunk, Datadog o Sentinel. Ogni accesso alle credenziali, ogni tentativo fallito, ogni violazione dell'ambito, ogni creazione di token, ogni rotazione. Non un riepilogo giornaliero — uno stream live di eventi strutturati su cui il Suo SOC può impostare alert.
Quando un agente accede a più di tre credenziali uniche al minuto, o dieci all'ora, viene automaticamente limitato. Una seconda violazione attiva un blocco completo. Il Suo SIEM riceve l'evento prima che la prossima richiesta dell'agente venga completata.
Audit e attribuzione
Ogni accesso alle credenziali è attribuito a un attore specifico — umano o agente. Non "qualcuno con la password condivisa". Un nome, un ambito, un timestamp, un IP sorgente. Quando il Suo CISO chiede chi ha avuto accesso al database di produzione alle 2 di notte di martedì, la risposta è a una query di distanza.
Le rotazioni delle password portano la stessa attribuzione. Quale credenziale è cambiata, chi l'ha attivata, quali agenti hanno acquisito il nuovo valore. Se una rotazione interrompe un deployment, la si traccia fino alla modifica esatta in pochi secondi.
Questa funzione è sempre attiva. Nessuna configurazione. Nessun opt-in. Il log di audit è la Sua prova di conformità, il Suo strumento di risposta agli incidenti e la Sua risposta a ogni regolatore che chiede come controlla l'accesso ai sistemi sensibili.
Prezzi per l'enterprise
Prezzi per utente. Tre agenti per utente. Prezzo a vita — la Sua tariffa non aumenterà mai. Non dopo un anno. Non dopo cinque anni. Non dopo che il Suo organico raddoppierà. Potremmo aumentare le tariffe per i nuovi clienti, ma la Sua tariffa è bloccata al Suo livello, nella Sua valuta, per la durata della Sua sottoscrizione.
Parliamone.
I Suoi agent sono già qui. Anche il Suo livello di credenziali dovrebbe esserlo.