Per l'enterprise
I Suoi agenti sono più intelligenti
delle Sue policy.
Un agente IA che comprende il Suo codebase può anche comprendere il Suo modello di controllo degli accessi. La sicurezza basata su policy è una negoziazione con qualcosa che sta migliorando nella negoziazione. Clavitor sostituisce la policy con la matematica.
Matematica, non policy
Altre soluzioni aggiungono una casella di controllo IA a una cassaforte esistente. L'agente ottiene l'accesso MCP: ricerca, navigazione, scoperta. È più intelligente di Lei. Troverà casi limite nelle Sue policy. Elencherà le credenziali che non avrebbe mai dovuto vedere. Non perché sia malevolo, ma perché è quello che fanno gli agenti quando ricevono un endpoint di ricerca e un obiettivo.
Clavitor non concede agli agenti l'accesso alla cassaforte. Emette credenziali specifiche ad agenti specifici tramite un'API ristretta. Nessuna navigazione. Nessuna scoperta. Nessuna enumerazione. Nessun endpoint di ricerca. L'agente ottiene ciò che gli è stato emesso e non può trovare ciò che non ha. Questa non è un'opzione di configurazione o un interruttore di policy, è così che funziona il protocollo. Non esiste un endpoint rivolto all'agente che restituisca un elenco di credenziali. La funzionalità non esiste nel binario.
Inoltre, ogni token dell'agente è associato a un IP di origine al primo contatto. La whitelist può essere aggiornata da un amministratore, ma un token rubato utilizzato da un IP non elencato viene rifiutato prima che venga eseguito qualsiasi handler. E ogni agente è limitato nella frequenza: più di tre credenziali uniche al minuto o dieci all'ora innescano un rallentamento. Una seconda violazione entro due ore blocca completamente l'agente, bloccato fino a quando il Suo team di sicurezza non lo sblocca con un tap hardware. Un agente normale necessita di due o tre credenziali. Un agente che ne legge dieci è o mal configurato o compromesso. In entrambi i casi, si ferma.
Il risultato: il raggio d'azione di un agente compromesso è limitato al suo ambito, dal suo IP, a una velocità che innesca il blocco prima che possa verificarsi un'esfiltrazione significativa. Non da una regola che può essere aggirata, ma dall'assenza di un percorso che lo consentirebbe.
Costruito per il Suo team di sicurezza
Confini applicati dall'hardware
Ogni operazione amministrativa — creazione di token per agenti, modifica di ambiti, modifica di elenchi di accesso, revoca di credenziali — richiede una conferma fisica con un'impronta digitale, un volto o una chiave di sicurezza da parte di una persona autorizzata. Questo non è un gate software che un processo privilegiato può aggirare. È una sfida crittografica che richiede un dispositivo registrato nelle mani di qualcuno.
Nessun agente può aumentare i propri permessi. Nessuna workstation compromessa può coniare nuovi token. Nessun attacco di ingegneria sociale può indurre qualcuno a concedere l'accesso al telefono: è richiesto il tap hardware, ed è associato all'origine del browser. Il Suo team di sicurezza controlla il confine di fiducia con qualcosa che nessun attaccante può replicare da remoto.
Isolamento crittografico
La cassaforte di ogni dipendente è un database crittografato separato — non una riga in una tabella condivisa, non uno spazio dei nomi in un archivio multi-tenant. Una violazione di una cassaforte produce testo cifrato. La chiave di crittografia non è sul server, non nel backup, non in alcun data center.
Gli ambiti controllano quali voci un agente può vedere. I livelli di crittografia controllano cosa chiunque può decrittografare. Carte di credito e documenti d'identità governativi vengono crittografati automaticamente al livello di identità — solo con chiave hardware, indecifrabili senza il dispositivo fisico. La Sua enterprise può promuovere qualsiasi campo a quel livello: accessi bancari, credenziali di approvvigionamento, sistemi HR, chiavi di firma. Questi campi sono testo cifrato su ogni server, in ogni backup, in ogni scenario di violazione. Le chiavi di decrittografia non sono co-locate con i dati che proteggono.
Conformità
SOC 2 Tipo II
Controlli verificati per sicurezza, disponibilità e riservatezza. La verifica copre le operazioni dell'infrastruttura, la gestione degli accessi, la gestione delle chiavi di crittografia e la risposta agli incidenti. Report disponibili sotto NDA per i clienti enterprise che valutano la piattaforma.
ISO 27001
Sistema di gestione della sicurezza delle informazioni certificato. Copre l'intero ciclo di vita — dal provisioning della cassaforte all'emissione delle credenziali fino alla cancellazione e alla conservazione dei backup. L'ambito della certificazione include tutti i Punti di Presenza (POP), l'infrastruttura di amministrazione centrale e la pipeline di sviluppo.
SLA di lettura del 99,99%
99,99% di uptime sulle letture. Failover inter-emisferico tra Calgary e Zurigo — due siti scelti per la stabilità geologica e la massima distanza. Se manchiamo l'obiettivo, riceverà un credito di un mese intero sulla Sua prossima fattura. Automatico, nessun modulo di richiesta, nessuna negoziazione. L'SLA è contrattuale, non aspirazionale.
Integrazione
Sincronizzazione directory SCIM
Dipendente si unisce ad Azure AD, Okta o Google Workspace — cassaforte provisionata automaticamente. Ambiti assegnati in base all'appartenenza al gruppo. Dipendente esce — cassaforte bloccata, ogni token revocato, ogni agente bloccato. Nessuna pulizia manuale, nessun ticket, nessun "qualcuno si è ricordato di ruotare le credenziali".
Il provisioning è in tempo reale, non batch. La cassaforte di un nuovo assunto è pronta prima del suo laptop. L'accesso di un dipendente terminato è revocato prima che raggiunga il parcheggio.
Integrazione SIEM
Feed in tempo reale a Splunk, Datadog o Sentinel. Ogni accesso a credenziali, ogni tentativo fallito, ogni violazione di ambito, ogni creazione di token, ogni rotazione. Non un riepilogo giornaliero — uno stream live di eventi strutturati su cui il Suo SOC può allertare.
Quando un agente accede a più di tre credenziali uniche al minuto, o dieci all'ora, viene automaticamente limitato. Una seconda violazione innesca un blocco completo. Il Suo SIEM vede l'evento prima che la richiesta successiva dell'agente venga completata.
Audit e attribuzione
Ogni accesso a credenziali è attribuito a un attore specifico — umano o agente. Non "qualcuno con la password condivisa". Un nome, un ambito, un timestamp, un IP di origine. Quando il Suo CISO chiede chi ha avuto accesso al database di produzione alle 2 del mattino di martedì, la risposta è a una query di distanza.
Le rotazioni delle password comportano la stessa attribuzione. Quale credenziale è cambiata, chi l'ha innescata, quali agenti hanno ricevuto il nuovo valore. Se una rotazione interrompe un deployment, la si traccia fino alla modifica esatta in secondi.
Questo è sempre attivo. Nessuna configurazione. Nessun opt-in. Il log di audit è la Sua prova di conformità, il Suo strumento di risposta agli incidenti e la Sua risposta a ogni regolatore che chiede come controlla l'accesso ai sistemi sensibili.
Prezzi enterprise
Prezzi per utente. Tre agenti per utente. Prezzo a vita — la Sua tariffa non aumenterà mai. Non dopo un anno. Non dopo cinque anni. Non dopo che il Suo organico raddoppierà. Potremmo aumentare le tariffe per i nuovi clienti, ma la Sua tariffa è bloccata al Suo livello, nella Sua valuta, per la durata della Sua sottoscrizione.
Parliamone.
I Suoi agenti sono già qui. Anche il Suo livello di credenziali dovrebbe esserlo.