Perguntas frequentes

Respostas às dúvidas mais comuns sobre o CipherVault. Não encontrou o que procurava? Escreva para contato@ciphervault.com.br.

Comercial

Existe plano gratuito?

Não. O CipherVault é um produto B2B com três planos: Starter, Professional e Enterprise, todos com preço sob consulta. Para avaliação, oferecemos Prova de Conceito (PoC) sem custo, em ambiente isolado, normalmente por 30 dias.

Como funciona a precificação?

Os preços são personalizados conforme número de usuários, sensores, funcionalidades e modelo de deploy (SaaS vs. on-premise). Solicite uma proposta para receber um orçamento.

Posso trocar de plano?

Sim. Upgrade pode ser feito a qualquer momento sem migração de dados — nosso time acompanha a habilitação de funcionalidades adicionais. Downgrade respeita o ciclo contratual.

Vocês atendem fora do Brasil?

Sim, mas o foco do produto é o mercado brasileiro e a conformidade com a LGPD. Atendemos clientes na América Latina e em multinacionais com operação no Brasil.

Funcionalidades

Qual a diferença entre vault e secret?

Vault (cofre) é o container de mais alto nível, com chaves de criptografia e políticas próprias — geralmente um por ambiente. Secret é o dado sensível em si (senha, token, certificado), versionado e organizado por path hierárquico dentro do vault. Veja conceitos centrais.

Quais algoritmos de criptografia são usados?

• Em repouso: AES-256-GCM (padrão), com chave master no HSM ou KMS do cliente (BYOK).
• Em trânsito: TLS 1.3 obrigatório, com mTLS para AppConnections.
• Assinatura de logs: Ed25519.
• Tokens: JWT com ES256 (P-256 ECDSA).

O CipherVault consegue ler meus secrets?

Não em produção com BYOK. Com chave master gerenciada pelo cliente (AWS KMS, GCP KMS, Azure Key Vault), apenas operações de cifra/decifra são feitas contra o KMS — o CipherVault nunca tem acesso à chave plaintext. Mesmo no modo "managed key", os logs e processos são auditáveis e o time da CipherVault não acessa dados de cliente sem aprovação documentada.

O que é OIDC Federation?

Forma de autenticar pipelines CI/CD sem armazenar tokens estáticos do cofre. O pipeline apresenta o JWT do GitHub/GitLab/CircleCI/Jenkins/Bamboo, o CipherVault valida e devolve um token efêmero válido apenas durante o job. Veja o tutorial GitHub Actions.

Quais bancos de dados suportam rotação automática?

PostgreSQL 12+, MySQL 5.7+/MariaDB 10.5+, SQL Server 2017+, Oracle 19c+, MongoDB 5.0+, Redis 6+, e AWS IAM. Veja Rotação automática.

Quais clouds são suportadas para sincronização?

AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, Oracle Cloud Vault, IBM Cloud Secrets Manager e Huawei Cloud CSMS — bidirecional, import único, sync contínuo ou failover multi-cloud. Veja Multi-cloud.

Segurança

O que é zero-knowledge?

A arquitetura garante que os dados sensíveis nunca trafegam ou são armazenados em texto plano fora do contexto da operação autorizada. Combinado com BYOK, o operador da plataforma não tem capacidade técnica de decifrar secrets de clientes.

O CipherVault é compatível com LGPD?

Sim. Construído desde o início com requisitos LGPD: criptografia em repouso e em trânsito, controle de acesso granular, logs imutáveis assinados, relatórios prontos para a ANPD, DPA assinável e ROPA (Record of Processing Activities) no painel.

Vocês têm SOC 2 / ISO 27001?

Sim. Relatórios SOC 2 Type II e certificado ISO 27001 são fornecidos sob NDA para clientes Enterprise. Os controles cobertos incluem CC6.1, CC6.2, CC7.2 (SOC 2) e A.9, A.12, A.18 (ISO 27001).

Como funciona o break-the-glass?

Para acessos pontuais a secrets críticos, a policy pode exigir aprovação multi-nível: o solicitante envia request com motivo, dois aprovadores de um grupo definido confirmam, o acesso é concedido por TTL configurável (ex.: 60min) e cada operação fica em log imutável separado. Veja Políticas de acesso.

O que acontece se houver vazamento de credenciais?

Se um secret for detectado em vazamento (Leak Detection no Enterprise, ou relatório externo), o fluxo padrão é:

1. Alerta automático em SIEM/PagerDuty/Slack.
2. Bloqueio temporário do secret (opt-in via policy).
3. Rotação manual ou automática do valor subjacente.
4. Auditoria de acessos no período de exposição.
5. Atualização das aplicações via path aggregator (sem deploy).

Operação

Latência típica para ler um secret?

• Cache hit (SDK ou cv-agent): < 1ms.
• Cache miss, mesma região: 30–80ms.
• Cache miss, cross-region: 80–200ms.

Aplicações em produção tipicamente operam com cache hit > 95%.

Posso rodar on-premise ou air-gapped?

Sim. O plano Professional suporta on-premise via Docker Compose ou Kubernetes (Helm). O Enterprise adiciona ambientes air-gapped sem nenhuma conectividade externa, com mecanismo de update offline assinado.

Quantos secrets cabem por cofre?

Sem limites técnicos relevantes. Tenants Enterprise gerenciam centenas de milhares de secrets por vault. O que escala custos é volume de operações (API calls/min) e tamanho de logs auditados, não a contagem de secrets.

Vocês oferecem SLA?

Sim. Plano Professional tem SLA de 99.9% (downtime mensal < 43min). Plano Enterprise tem SLA de 99.99% (downtime mensal < 4.3min) com multi-região ativo-ativo opcional. Crédito automático em caso de violação, conforme contrato.

Como vocês fazem backup?

Backup criptografado a cada 6 horas no plano Professional, contínuo (streaming) no Enterprise. Restore testado mensalmente em ambiente isolado. Procedimento de quebra de vidro via Shamir's Secret Sharing para recuperação em caso de comprometimento total da chave master.

Integração

Quais ferramentas PAM o CipherVault integra?

HashiCorp Vault, CyberArk (PAS, Conjur), BeyondTrust (Password Safe, DevOps Secrets Safe), Delinea (ex-Thycotic), e Senhasegura (parceria nativa BR). Veja Integração PAM.

Posso migrar do HashiCorp Vault?

Sim. Temos CLI de migração assistida (ciphervault-cli migrate from-hashicorp) que importa KV, Transit e Database secrets engines, mapeia policies e gera plano de cutover. Migrações grandes são acompanhadas por engenheiro alocado (add-on).

Existem SDKs para outras linguagens?

Oficiais: Python, Node.js, Java, Go, C# (.NET). Comunitários (sem suporte): Rust, PHP, Ruby.

Como integrar com aplicações legadas que só leem AWS Secrets Manager?

Use sync contínuo CipherVault → AWS Secrets Manager. A app continua chamando AWS, mas o CipherVault é a fonte da verdade com auditoria, RBAC e Risk Scoring unificados. Veja Multi-cloud.

Suporte

Quais canais de suporte existem?

Plano	Canais	SLA primeira resposta
Starter	E-mail, base de conhecimento	1 dia útil
Professional	E-mail + chat + portal	4h úteis
Enterprise	E-mail + chat + telefone + canal dedicado	1h (24/7)

Add-on: Suporte Premium Plus e Engenheiro Alocado para clientes que exigem atendimento prioritário ou time dedicado.

Como reporto um bug ou solicito feature?

• Bug: abra ticket via portal de suporte ou e-mail suporte@ciphervault.com.br.
• Feature: roadmap público em https://ciphervault.com.br/roadmap (em breve) ou converse com seu Customer Success.
• Vulnerabilidade de segurança: envie para security@ciphervault.com.br (PGP key disponível). Bug bounty em fase de planejamento.