Для предприятий
Ваши агенты умнее
чем Ваши политики.
ИИ-агент, который понимает Ваш код, также может понимать Вашу модель контроля доступа. Политики безопасности — это переговоры с тем, кто становится всё лучше в переговорах. Clavitor заменяет политики математикой.
Математика, а не политика
Другие решения добавляют ИИ-чекбокс к существующему хранилищу. Агент получает доступ к MCP — поиск, просмотр, обнаружение. Он умнее Вас. Он найдёт крайние случаи в Ваших политиках. Он перечислит учётные данные, которые ему не предназначались для просмотра. Не потому, что он зловредный — потому, что именно это делают агенты, когда им предоставляют конечную точку поиска и цель.
Clavitor не предоставляет агентам доступ к хранилищу. Он выдаёт конкретные учётные данные конкретным агентам через узкий API. Никакого просмотра. Никакого обнаружения. Никакого перечисления. Никакой конечной точки поиска. Агент получает то, что ему было выдано, и не может найти то, чего у него нет. Это не настройка или переключатель политики — так работает протокол. Нет конечной точки, доступной агенту, которая возвращает список учётных данных. Возможности нет в бинарном файле.
Кроме того, каждый токен агента при первом контакте привязывается к исходному IP-адресу. Белый список может быть обновлён администратором — но украденный токен, использованный с не указанного IP, отклоняется до запуска любого обработчика. И каждый агент имеет ограничение скорости: более трёх уникальных учётных данных в минуту или десяти в час вызывает замедление. Второе нарушение в течение двух часов полностью блокирует агента — он заморожен до тех пор, пока Ваша команда безопасности не разблокирует его аппаратным касанием. Обычному агенту требуется два или три учётных данных. Агент, читающий десять, либо неправильно настроен, либо скомпрометирован. В любом случае, он останавливается.
Результат: радиус поражения скомпрометированного агента ограничен его областью действия, его IP-адресом, скоростью, которая вызывает блокировку до того, как может произойти значительная эксфильтрация. Не правилом, которое можно обойти, а отсутствием пути, который бы это позволил.
Создано для Вашей команды безопасности
Аппаратно-защищенные границы
Каждая операция администратора — создание токенов агентов, изменение областей действия, изменение списков доступа, отзыв учётных данных — требует физического подтверждения с помощью отпечатка пальца, лица или ключа безопасности от авторизованного лица. Это не программный барьер, который может обойти привилегированный процесс. Это криптографический вызов, требующий зарегистрированное устройство в чьей-то руке.
Ни один агент не может повысить свои привилегии. Ни одна скомпрометированная рабочая станция не может выпустить новые токены. Ни одна атака социальной инженерии не может обмануть кого-либо, чтобы тот предоставил доступ по телефону — требуется аппаратное касание, и оно привязано к источнику браузера. Ваша команда безопасности контролирует границу доверия с помощью того, что ни один злоумышленник не может воспроизвести удалённо.
Криптографическая изоляция
Хранилище каждого сотрудника — это отдельная зашифрованная база данных — не строка в общей таблице, не пространство имён в многопользовательском хранилище. Взлом одного хранилища даёт зашифрованный текст. Ключ шифрования не находится на сервере, не в резервной копии, не в каком-либо центре обработки данных.
Области действия контролируют, какие записи может видеть агент. Уровни шифрования контролируют, что кто-либо может расшифровать. Кредитные карты и государственные удостоверения личности автоматически шифруются на уровне идентификации — только с аппаратным ключом, не подлежат расшифровке без физического устройства. Ваше предприятие может повысить любой элемент до этого уровня: банковские логины, учётные данные для закупок, HR-системы, ключи подписи. Эти поля представляют собой зашифрованный текст на каждом сервере, в каждой резервной копии, в любом сценарии взлома. Ключи расшифровки не находятся рядом с данными, которые они защищают.
Соответствие требованиям
SOC 2 Type II
Проверенные элементы управления безопасностью, доступностью и конфиденциальностью. Аудит охватывает операции инфраструктуры, управление доступом, обработку ключей шифрования и реагирование на инциденты. Отчёты доступны по NDA для корпоративных клиентов, оценивающих платформу.
ISO 27001
Сертифицированная система менеджмента информационной безопасности. Охватывает полный жизненный цикл — от предоставления хранилища до выдачи учётных данных, удаления и хранения резервных копий. Область сертификации включает все точки присутствия (POP), центральную административную инфраструктуру и конвейер разработки.
SLA на чтение 99,99%
99,99% времени безотказной работы для операций чтения. Межполушарная отказоустойчивость между Калгари и Цюрихом — два сайта, выбранные за геологическую стабильность и максимальное расстояние. Если мы не достигнем целевого показателя, Вы получите полный месячный кредит на следующий счёт. Автоматически, без формы заявления, без переговоров. SLA является договорным, а не декларативным.
Интеграция
Синхронизация каталога SCIM
Сотрудник присоединяется к Azure AD, Okta или Google Workspace — хранилище автоматически предоставляется. Области действия назначаются по членству в группе. Сотрудник увольняется — хранилище замораживается, все токены отзываются, все агенты блокируются. Никакой ручной очистки, никаких заявок, никаких "кто-нибудь помнил о ротации учётных данных".
Предоставление происходит в режиме реального времени, а не пакетами. Хранилище нового сотрудника готово раньше, чем его ноутбук. Доступ уволенного сотрудника отсутствует до того, как он покинет парковку.
Интеграция с SIEM
Поток в реальном времени в Splunk, Datadog или Sentinel. Каждый доступ к учётным данным, каждая неудачная попытка, каждое нарушение области действия, каждое создание токена, каждая ротация. Не ежедневный дайджест — живой поток структурированных событий, по которым Ваш SOC может настроить оповещения.
Когда агент получает доступ к более чем трём уникальным учётным данным в минуту или десяти в час, он автоматически замедляется. Второе нарушение вызывает жёсткую блокировку. Ваш SIEM видит событие до того, как завершится следующий запрос агента.
Аудит и атрибуция
Каждый доступ к учётным данным приписывается конкретному субъекту — человеку или агенту. Не "кто-то с общим паролем". Имя, область действия, временная метка, исходный IP-адрес. Когда Ваш CISO спросит, кто получил доступ к производственной базе данных в 2 часа ночи во вторник, ответ будет получен одним запросом.
Ротация паролей имеет ту же атрибуцию. Какие учётные данные были изменены, кто инициировал её, какие агенты получили новое значение. Если ротация нарушает развёртывание, Вы отследите её до точного изменения за секунды.
Это всегда включено. Без настройки. Без опт-ина. Журнал аудита — это Ваше доказательство соответствия требованиям, Ваш инструмент реагирования на инциденты и Ваш ответ каждому регулятору, который спрашивает, как Вы контролируете доступ к конфиденциальным системам.
Корпоративное ценообразование
Цена за пользователя. Три агента на пользователя. Цена на всю жизнь — Ваша ставка никогда не увеличится. Не через год. Не через пять лет. Не после удвоения Вашего штата. Мы можем повысить ставки для новых клиентов, но Ваша ставка зафиксирована на Вашем уровне, в Вашей валюте, на весь срок Вашей подписки.
Давайте поговорим.
Ваши агенты уже здесь. Ваш слой учётных данных тоже должен быть.