Auditoria e logs imutáveis
Toda operação no CipherVault — leitura, escrita, rotação, mudança de policy, login, MFA, falha de autenticação — é registrada em log imutável, assinado criptograficamente e exportável para SIEM. Os logs atendem requisitos de LGPD, ISO 27001 Anexo A.12, SOC 2 Type II e PCI DSS 10.
Estrutura do evento
{
"event_id": "evt_01HXYZABC...",
"timestamp": "2026-05-04T13:42:11.345Z",
"actor": {
"type": "user",
"id": "alice@acme.com.br",
"ip": "177.123.45.67",
"user_agent": "ciphervault-cli/1.6.0",
"mfa_method": "fido2",
"session_id": "sess_..."
},
"action": "secrets:read",
"resource": "vault/producao/api/stripe/secret_key",
"vault": "producao",
"version_read": 7,
"decision": "allow",
"matched_policy": "leitura-stripe-prod",
"context": {
"request_id": "req_...",
"approval_id": null,
"risk_score": 12
},
"signature": "ed25519:..."
}
A signature é gerada com chave Ed25519 dedicada de logs e validável
publicamente — qualquer adulteração quebra a cadeia.
Retenção
| Plano | Retenção online | Cold storage |
|---|---|---|
| Starter | 90 dias | — |
| Professional | 1 ano | 7 anos (S3 Glacier) |
| Enterprise | 1 ano | Ilimitado, customer-managed |
Logs em cold storage permanecem assinados e podem ser reimportados sob demanda.
Exportação para SIEM
Splunk HEC
curl -X PUT https://api.ciphervault.com.br/v1/audit/exporters \
-H "Authorization: Bearer $CIPHERVAULT_TOKEN" \
-d '{
"type": "splunk_hec",
"endpoint": "https://splunk.acme.com.br:8088/services/collector",
"token_secret": "siem/splunk/hec_token",
"index": "ciphervault",
"batch_size": 100,
"flush_interval_seconds": 30
}'
Outros destinos suportados
- Elastic (Elasticsearch HTTP, Beats)
- Datadog (Logs API)
- Microsoft Sentinel (Azure Monitor HTTP Data Collector)
- Sumo Logic (HTTP Source)
- AWS CloudWatch Logs (PutLogEvents)
- GCP Cloud Logging (entries.write)
- Kafka (auto-mTLS)
- Webhook genérico (HTTPS POST)
- Syslog RFC 5424 (TLS)
Múltiplos exporters podem rodar em paralelo. Falhas de envio não param o sistema — eventos ficam em fila persistente até confirmação.
Consulta via API
curl "https://api.ciphervault.com.br/v1/audit?\
vault=producao&\
action=secrets:read&\
actor=alice@acme.com.br&\
from=2026-04-01T00:00:00Z&\
to=2026-05-01T00:00:00Z" \
-H "Authorization: Bearer $CIPHERVAULT_TOKEN"
Relatórios prontos
Em Auditoria → Relatórios, baixe relatórios pré-formatados:
- LGPD — Relatório de tratamento de dados (ANPD-friendly).
- ISO 27001 — Controles A.9, A.12, A.18.
- SOC 2 — CC6.1, CC6.2, CC7.2.
- PCI DSS — Requirement 10.
Disponíveis em PDF assinado e CSV.
Alertas em tempo real
Configure regras que disparam webhook, e-mail, Slack ou PagerDuty:
{
"name": "leitura-fora-de-horario-prod",
"condition": {
"vault": "producao",
"action": "secrets:read",
"context": { "currentTimeNotBetween": ["08:00-03:00", "20:00-03:00"] }
},
"notify": [
{ "type": "slack", "channel": "#sec-alerts" },
{ "type": "pagerduty", "service": "ciphervault-prod" }
]
}
Boas práticas
- Export para SIEM no dia 1. Não acumule logs apenas no CipherVault.
- Validar assinaturas em auditorias externas. A chave pública está em
https://api.ciphervault.com.br/.well-known/audit-signing-keys. - Não desabilitar auditoria nunca. Por design, não é possível — apenas reduzir verbosidade no plano Starter.
- Reconciliar com IdP. Compare logs de login do CipherVault com Keycloak/Okta/AzureAD.