Para empresas
Sus agentes son más inteligentes
que sus políticas.
Un agente de IA que entiende su base de código también puede entender su modelo de control de acceso. La seguridad basada en políticas es una negociación con algo que cada vez es mejor negociando. Clavitor sustituye la política por las matemáticas.
Matemáticas, no política
Otras soluciones añaden una casilla de IA a una bóveda existente. El agente obtiene acceso MCP: buscar, explorar, descubrir. Es más inteligente que usted. Encontrará casos extremos en sus políticas. Enumerará credenciales que nunca debió ver. No porque sea malicioso, sino porque eso es lo que hacen los agentes cuando se les da un punto final de búsqueda y un objetivo.
Clavitor no otorga acceso a la bóveda a los agentes. Emite credenciales específicas a agentes específicos a través de una API restringida. Sin exploración. Sin descubrimiento. Sin enumeración. Sin punto final de búsqueda. El agente obtiene lo que se le ha emitido y no puede encontrar lo que no se le ha emitido. Esto no es una opción de configuración ni un interruptor de política, es cómo funciona el protocolo. No existe un punto final accesible por el agente que devuelva una lista de credenciales. La capacidad no existe en el binario.
Además de eso, cada token de agente está vinculado a una IP de origen en el primer contacto. La lista blanca puede ser actualizada por un administrador, pero un token robado utilizado desde una IP no listada es rechazado antes de que se ejecute cualquier manejador. Y cada agente tiene un límite de velocidad: más de tres credenciales únicas por minuto o diez por hora activa una limitación. Una segunda infracción en dos horas bloquea completamente al agente, congelado hasta que su equipo de seguridad lo desbloquee con un toque de hardware. Un agente normal necesita dos o tres credenciales. Un agente que lee diez está mal configurado o comprometido. En cualquier caso, se detiene.
El resultado: el radio de explosión de un agente comprometido está limitado a su alcance, desde su IP, a una velocidad que activa el bloqueo antes de que pueda ocurrir una exfiltración significativa. No por una regla que pueda ser eludida, sino por la ausencia de un camino que lo permita.
Diseñado para su equipo de seguridad
Límites aplicados por hardware
Cada operación de administrador (crear tokens de agente, modificar alcances, cambiar listas de acceso, revocar credenciales) requiere una confirmación física con una huella dactilar, rostro o clave de seguridad de una persona autorizada. Esto no es una puerta de software que un proceso privilegiado pueda omitir. Es un desafío criptográfico que requiere un dispositivo registrado en la mano de alguien.
Ningún agente puede escalar sus propios permisos. Ninguna estación de trabajo comprometida puede acuñar nuevos tokens. Ningún ataque de ingeniería social puede engañar a alguien para que conceda acceso por teléfono: se requiere el toque de hardware, y está vinculado al origen del navegador. Su equipo de seguridad controla el límite de confianza con algo que ningún atacante puede replicar de forma remota.
Aislamiento criptográfico
La bóveda de cada empleado es una base de datos cifrada separada, no una fila en una tabla compartida, no un espacio de nombres en un almacén multi-inquilino. Una brecha en una bóveda produce texto cifrado. La clave de cifrado no está en el servidor, no en la copia de seguridad, no en ningún centro de datos.
Los alcances controlan qué entradas puede ver un agente. Los niveles de cifrado controlan qué puede descifrar cualquiera. Las tarjetas de crédito y las identificaciones gubernamentales se cifran automáticamente en el nivel de identidad: solo con clave de hardware, indescifrables sin el dispositivo físico. Su empresa puede promover cualquier campo a ese nivel: inicios de sesión bancarios, credenciales de adquisición, sistemas de RR. HH., claves de firma. Estos campos son texto cifrado en cada servidor, en cada copia de seguridad, en cada escenario de brecha. Las claves de descifrado no están ubicadas junto con los datos que protegen.
Cumplimiento
SOC 2 Tipo II
Controles auditados para seguridad, disponibilidad y confidencialidad. La auditoría cubre las operaciones de infraestructura, la gestión de acceso, el manejo de claves de cifrado y la respuesta a incidentes. Informes disponibles bajo NDA para clientes empresariales que evalúan la plataforma.
ISO 27001
Sistema de gestión de seguridad de la información certificado. Cubre el ciclo de vida completo, desde el aprovisionamiento de la bóveda hasta la emisión de credenciales, la eliminación y la retención de copias de seguridad. El alcance de la certificación incluye todos los Puntos de Presencia (POP), la infraestructura central de administración y el canal de desarrollo.
99.99% de SLA de lectura
99.99% de tiempo de actividad en lecturas. Conmutación por error entre hemisferios entre Calgary y Zúrich, dos sitios elegidos por su estabilidad geológica y distancia máxima. Si no alcanzamos el objetivo, recibirá un crédito de un mes completo en su próxima factura. Automático, sin formulario de reclamación, sin negociación. El SLA es contractual, no aspiracional.
Integración
Sincronización de directorios SCIM
Empleado se une a Azure AD, Okta o Google Workspace: bóveda aprovisionada automáticamente. Alcances asignados por membresía de grupo. Empleado se va: bóveda congelada, todos los tokens revocados, todos los agentes bloqueados. Sin limpieza manual, sin tickets, sin «alguien recordó rotar las credenciales».
El aprovisionamiento es en tiempo real, no por lotes. La bóveda de un nuevo empleado está lista antes que su portátil. El acceso de un empleado despedido desaparece antes de que llegue al aparcamiento.
Integración SIEM
Flujo en tiempo real a Splunk, Datadog o Sentinel. Cada acceso a credenciales, cada intento fallido, cada violación de alcance, cada creación de token, cada rotación. No un resumen diario, sino un flujo en vivo de eventos estructurados sobre los que su SOC puede alertar.
Cuando un agente accede a más de tres credenciales únicas por minuto, o diez por hora, se limita automáticamente. Una segunda infracción activa un bloqueo total. Su SIEM ve el evento antes de que se complete la siguiente solicitud del agente.
Auditoría y atribución
Cada acceso a credenciales se atribuye a un actor específico, humano o agente. No "alguien con la contraseña compartida". Un nombre, un alcance, una marca de tiempo, una IP de origen. Cuando su CISO pregunte quién accedió a la base de datos de producción a las 2 AM un martes, la respuesta estará a una consulta de distancia.
Las rotaciones de contraseñas conllevan la misma atribución. Qué credencial cambió, quién la activó, qué agentes obtuvieron el nuevo valor. Si una rotación rompe una implementación, la rastrea hasta el cambio exacto en segundos.
Esto está siempre activado. Sin configuración. Sin opción de habilitación. El registro de auditoría es su evidencia de cumplimiento, su herramienta de respuesta a incidentes y su respuesta a cada regulador que pregunte cómo controla el acceso a sistemas sensibles.
Precios empresariales
Precios por usuario. Tres agentes por usuario. Precio de por vida: su tarifa nunca aumentará. Ni después de un año. Ni después de cinco años. Ni después de que su plantilla se duplique. Podemos aumentar las tarifas para nuevos clientes, pero su tarifa está bloqueada en su nivel, en su moneda, durante la vida útil de su suscripción.
Hablemos.
Sus agentes ya están aquí. Su capa de credenciales también debería estarlo.