Para empresas
Seus agentes são mais inteligentes
que suas políticas.
Um agente de IA que entende seu codebase também pode entender seu modelo de controle de acesso. Segurança baseada em políticas é uma negociação com algo que está ficando melhor em negociar. Clavitor substitui políticas por matemática.
Matemática, não política
Outras soluções adicionam uma caixa de seleção de IA a um cofre existente. O agente obtém acesso MCP — pesquisar, navegar, descobrir. É mais inteligente que você. Ele encontrará casos extremos em suas políticas. Ele listará credenciais que nunca deveria ver. Não porque é malicioso — porque é isso que agentes fazem quando recebem um endpoint de pesquisa e um objetivo.
Clavitor não concede acesso ao cofre aos agentes. Ele emite credenciais específicas para agentes específicos através de uma API restrita. Sem navegação. Sem descoberta. Sem listagem. Sem endpoint de pesquisa. O agente recebe o que foi emitido e não pode encontrar o que não tem. Esta não é uma opção de configuração ou um alternador de política — é como o protocolo funciona. Não há endpoint voltado para o agente que retorne uma lista de credenciais. A capacidade não existe no binário.
Além disso, cada token de agente está vinculado a um IP de origem no primeiro contato. A lista de permissões pode ser atualizada por um administrador — mas um token roubado usado de um IP não listado é recusado antes que qualquer manipulador seja executado. E cada agente é limitado por taxa: mais de três credenciais exclusivas por minuto ou dez por hora aciona um estrangulamento. Uma segunda violação em duas horas bloqueia o agente inteiramente — congelado até que sua equipe de segurança o desbloqueie com um toque de hardware. Um agente normal precisa de duas ou três credenciais. Um agente lendo dez está mal configurado ou comprometido. De qualquer forma, ele para.
O resultado: o raio de explosão de um agente comprometido é limitado ao seu escopo, a partir de seu IP, a uma taxa que aciona o bloqueio antes que uma exfiltração significativa possa ocorrer. Não por uma regra que pode ser contornada, mas pela ausência de um caminho que permitiria isso.
Construído para sua equipe de segurança
Limites impostos por hardware
Cada operação de administrador — criação de tokens de agente, modificação de escopos, alteração de listas de acesso, revogação de credenciais — requer uma confirmação física com uma impressão digital, rosto ou chave de segurança de uma pessoa autorizada. Este não é um portão de software que um processo privilegiado pode contornar. É um desafio criptográfico que requer um dispositivo registrado na mão de alguém.
Nenhum agente pode escalar suas próprias permissões. Nenhuma estação de trabalho comprometida pode gerar novos tokens. Nenhum ataque de engenharia social pode enganar alguém para conceder acesso por telefone — o toque de hardware é necessário, e está vinculado à origem do navegador. Sua equipe de segurança controla o limite de confiança com algo que nenhum atacante pode replicar remotamente.
Isolamento criptográfico
O cofre de cada funcionário é um banco de dados criptografado separado — não uma linha em uma tabela compartilhada, não um namespace em um armazenamento multi-tenant. Uma violação de um cofre resulta em texto cifrado. A chave de criptografia não está no servidor, não no backup, não em nenhum data center.
Escopos controlam quais entradas um agente pode ver. Níveis de criptografia controlam o que qualquer pessoa pode descriptografar. Cartões de crédito e IDs governamentais são criptografados automaticamente no nível de identidade — apenas com chave de hardware, indecifráveis sem o dispositivo físico. Sua empresa pode promover qualquer campo para esse nível: logins bancários, credenciais de aquisição, sistemas de RH, chaves de assinatura. Esses campos são texto cifrado em todos os servidores, em todos os backups, em todos os cenários de violação. As chaves de descriptografia não estão co-localizadas com os dados que protegem.
Conformidade
SOC 2 Tipo II
Controles auditados para segurança, disponibilidade e confidencialidade. A auditoria abrange operações de infraestrutura, gerenciamento de acesso, manuseio de chaves de criptografia e resposta a incidentes. Relatórios disponíveis sob NDA para clientes corporativos que avaliam a plataforma.
ISO 27001
Sistema de gerenciamento de segurança da informação certificado. Abrange todo o ciclo de vida — desde o provisionamento do cofre até a emissão de credenciais, exclusão e retenção de backup. O escopo da certificação inclui todos os Pontos de Presença (POPs), a infraestrutura administrativa central e o pipeline de desenvolvimento.
SLA de leitura de 99,99%
99,99% de tempo de atividade em leituras. Failover entre hemisférios entre Calgary e Zurique — dois locais escolhidos por estabilidade geológica e distância máxima. Se não atingirmos a meta, você recebe um crédito de um mês inteiro na sua próxima fatura. Automático, sem formulário de solicitação, sem negociação. O SLA é contratual, não aspiracional.
Integração
Sincronização de diretório SCIM
Funcionário entra no Azure AD, Okta ou Google Workspace — cofre provisionado automaticamente. Escopos atribuídos por associação de grupo. Funcionário sai — cofre congelado, todos os tokens revogados, todos os agentes bloqueados. Sem limpeza manual, sem tickets, sem "alguém se lembrou de rotacionar as credenciais".
O provisionamento é em tempo real, não em lote. O cofre de um novo contratado está pronto antes do laptop dele. O acesso de um funcionário demitido é revogado antes que ele chegue ao estacionamento.
Integração SIEM
Feed em tempo real para Splunk, Datadog ou Sentinel. Cada acesso a credencial, cada tentativa falha, cada violação de escopo, cada criação de token, cada rotação. Não um resumo diário — um fluxo ao vivo de eventos estruturados sobre os quais seu SOC pode alertar.
Quando um agente acessa mais de três credenciais exclusivas por minuto, ou dez por hora, ele é automaticamente estrangulado. Uma segunda violação aciona um bloqueio rígido. Seu SIEM vê o evento antes que a próxima solicitação do agente seja concluída.
Auditoria e atribuição
Cada acesso a credencial é atribuído a um ator específico — humano ou agente. Não "alguém com a senha compartilhada". Um nome, um escopo, um timestamp, um IP de origem. Quando seu CISO perguntar quem acessou o banco de dados de produção às 2 da manhã de uma terça-feira, a resposta estará a uma consulta de distância.
Rotações de senha carregam a mesma atribuição. Qual credencial mudou, quem a acionou, quais agentes pegaram o novo valor. Se uma rotação quebrar uma implantação, você a rastreia até a mudança exata em segundos.
Isso está sempre ativo. Sem configuração. Sem opção de ativação. O registro de auditoria é sua evidência de conformidade, sua ferramenta de resposta a incidentes e sua resposta a todos os reguladores que perguntam como você controla o acesso a sistemas sensíveis.
Preços corporativos
Preço por usuário. Três agentes por usuário. Preço para sempre — sua taxa nunca aumenta. Não depois de um ano. Não depois de cinco anos. Não depois que seu número de funcionários dobrar. Podemos aumentar as taxas para novos clientes, mas sua taxa é bloqueada em seu nível, em sua moeda, pela vida útil de sua assinatura.
Vamos conversar.
Seus agentes já estão aqui. Sua camada de credenciais também deveria estar.