Para empresas
Os seus agentes são mais inteligentes
do que as suas políticas.
Um agente de IA que compreende a sua base de código também pode compreender o seu modelo de controlo de acesso. A segurança baseada em políticas é uma negociação com algo que está a ficar melhor a negociar. O Clavitor substitui a política por matemática.
Matemática, não política
Outras soluções adicionam uma caixa de verificação de IA a um cofre existente. O agente obtém acesso MCP — pesquisa, navegação, descoberta. É mais inteligente do que você. Encontrará casos extremos nas suas políticas. Enumerará credenciais que nunca deveria ter visto. Não porque seja malicioso — porque é isso que os agentes fazem quando lhes é dado um ponto de acesso de pesquisa e um objetivo.
O Clavitor não concede aos agentes acesso ao cofre. Emite credenciais específicas para agentes específicos através de uma API restrita. Sem navegação. Sem descoberta. Sem enumeração. Sem ponto de acesso de pesquisa. O agente obtém o que lhe foi emitido e não consegue encontrar o que não tem. Esta não é uma opção de configuração ou um interruptor de política — é assim que o protocolo funciona. Não existe nenhum ponto de acesso voltado para o agente que devolva uma lista de credenciais. A capacidade não existe no binário.
Além disso, cada token de agente está vinculado a um IP de origem no primeiro contacto. A lista branca pode ser atualizada por um administrador — mas um token roubado usado a partir de um IP não listado é recusado antes de qualquer processador ser executado. E cada agente tem um limite de taxa: mais de três credenciais únicas por minuto ou dez por hora aciona um estrangulamento. Uma segunda violação em duas horas bloqueia o agente inteiramente — congelado até que a sua equipa de segurança o desbloqueie com um toque de hardware. Um agente normal precisa de duas ou três credenciais. Um agente a ler dez está mal configurado ou comprometido. De qualquer forma, para.
O resultado: o raio de explosão de um agente comprometido está limitado ao seu âmbito, a partir do seu IP, a uma taxa que aciona o bloqueio antes que uma exfiltração significativa possa ocorrer. Não por uma regra que possa ser contornada, mas pela ausência de um caminho que o permitiria.
Construído para a sua equipa de segurança
Limites impostos por hardware
Cada operação de administrador — criação de tokens de agente, modificação de âmbitos, alteração de listas de acesso, revogação de credenciais — requer uma confirmação física com uma impressão digital, rosto ou chave de segurança de uma pessoa autorizada. Este não é um portão de software que um processo privilegiado possa contornar. É um desafio criptográfico que requer um dispositivo registado na mão de alguém.
Nenhum agente pode escalar as suas próprias permissões. Nenhuma estação de trabalho comprometida pode emitir novos tokens. Nenhum ataque de engenharia social pode enganar alguém para conceder acesso por telefone — o toque de hardware é necessário, e está vinculado à origem do navegador. A sua equipa de segurança controla o limite de confiança com algo que nenhum atacante pode replicar remotamente.
Isolamento criptográfico
O cofre de cada funcionário é uma base de dados encriptada separada — não uma linha numa tabela partilhada, não um espaço de nomes num armazenamento multi-inquilino. Uma violação de um cofre resulta em texto cifrado. A chave de encriptação não está no servidor, não na cópia de segurança, não em nenhum centro de dados.
Os âmbitos controlam quais as entradas que um agente pode ver. Os níveis de encriptação controlam o que qualquer pessoa pode desencriptar. Cartões de crédito e documentos de identificação governamentais são automaticamente encriptados ao nível de identidade — apenas com chave de hardware, indecifráveis sem o dispositivo físico. A sua empresa pode promover qualquer campo para esse nível: acessos bancários, credenciais de aquisição, sistemas de RH, chaves de assinatura. Estes campos são texto cifrado em todos os servidores, em todas as cópias de segurança, em todos os cenários de violação. As chaves de desencriptação não estão co-localizadas com os dados que protegem.
Conformidade
SOC 2 Tipo II
Controlos auditados para segurança, disponibilidade e confidencialidade. A auditoria abrange operações de infraestrutura, gestão de acesso, manuseamento de chaves de encriptação e resposta a incidentes. Relatórios disponíveis sob NDA para clientes empresariais que avaliam a plataforma.
ISO 27001
Sistema de gestão de segurança da informação certificado. Abrange todo o ciclo de vida — desde o aprovisionamento do cofre até à emissão de credenciais, eliminação e retenção de cópias de segurança. O âmbito da certificação inclui todos os Pontos de Presença (POPs), a infraestrutura administrativa central e o pipeline de desenvolvimento.
99,99% de SLA de leitura
99,99% de tempo de atividade nas leituras. Failover entre hemisférios entre Calgary e Zurique — dois locais escolhidos pela estabilidade geológica e distância máxima. Se falharmos o objetivo, recebe um crédito de um mês inteiro na sua próxima fatura. Automático, sem formulário de reclamação, sem negociação. O SLA é contratual, não aspiracional.
Integração
Sincronização de diretório SCIM
Funcionário junta-se ao Azure AD, Okta ou Google Workspace — cofre aprovisionado automaticamente. Âmbitos atribuídos por associação a grupos. Funcionário sai — cofre congelado, todos os tokens revogados, todos os agentes bloqueados. Sem limpeza manual, sem tickets, sem "alguém se lembrou de rodar as credenciais."
O aprovisionamento é em tempo real, não em lote. O cofre de um novo contratado está pronto antes do seu portátil. O acesso de um funcionário despedido desaparece antes de chegar ao estacionamento.
Integração SIEM
Feed em tempo real para Splunk, Datadog ou Sentinel. Cada acesso a credenciais, cada tentativa falhada, cada violação de âmbito, cada criação de token, cada rotação. Não um resumo diário — um fluxo contínuo de eventos estruturados sobre os quais o seu SOC pode alertar.
Quando um agente acede a mais de três credenciais únicas por minuto, ou dez por hora, é automaticamente estrangulado. Uma segunda violação aciona um bloqueio total. O seu SIEM vê o evento antes que o próximo pedido do agente seja concluído.
Auditoria e atribuição
Cada acesso a credenciais é atribuído a um ator específico — humano ou agente. Não "alguém com a palavra-passe partilhada". Um nome, um âmbito, um carimbo de data/hora, um IP de origem. Quando o seu CISO pergunta quem acedeu à base de dados de produção às 2 da manhã de uma terça-feira, a resposta está a uma consulta de distância.
As rotações de palavra-passe têm a mesma atribuição. Qual credencial mudou, quem a acionou, quais os agentes que recolheram o novo valor. Se uma rotação quebrar uma implementação, rastreia-a até à alteração exata em segundos.
Isto está sempre ativo. Sem configuração. Sem opção de adesão. O registo de auditoria é a sua prova de conformidade, a sua ferramenta de resposta a incidentes e a sua resposta a todos os reguladores que perguntam como controla o acesso a sistemas sensíveis.
Preços empresariais
Preços por utilizador. Três agentes por utilizador. Preço para sempre — a sua taxa nunca aumenta. Nem após um ano. Nem após cinco anos. Nem após o seu número de funcionários duplicar. Podemos aumentar as taxas para novos clientes, mas a sua taxa está bloqueada no seu nível, na sua moeda, durante a vida útil da sua subscrição.
Vamos conversar.
Os seus agentes já estão aqui. A sua camada de credenciais também deveria estar.