Den här sidan beskriver arkitekturens motståndskraft. Flera mekanismer är fortfarande under aktiv utveckling; designen är låst och hoten är verkliga. Om du vill ha status för implementeringen per punkt, kontakta oss — vi delar den aktuella utvecklingen under NDA.
Infrastruktur
Byggd för att fortsätta fungera när något inte gör det.
Varje del av Clavitors infrastruktur designades genom att ställa samma fråga för varje beroende, varje leverantör, varje lager: vad händer när detta misslyckas? Vi arbetade igenom den frågan över hela stacken och designade arkitekturen så att svaret alltid är detsamma: valvet fortsätter att leverera.
Den här sidan listar vad vi har tänkt på. De specifika mekanismerna — hur vi löser varje enskild punkt — förblir privata; sofistikerade kunder kan få den detaljen under NDA. Att publicera hotlistan är ärlighet om ingenjörskonsten. Att publicera försvaren är en gratis ritning för motståndare.
Vad vi har byggt för
Hyperskaliga molnavbrott
De stora molnleverantörerna går ner. Inte ofta, men synligt, och när de gör det tar de med sig stora delar av internet. Vi designade med antagandet att vilken enskild hyperskalare som helst till slut kommer att ha en globalt dålig dag. Clavitor fortsätter att leverera inloggningsuppgifter när det händer.
Regionala katastrofer och kinetiska händelser
En regional händelse — en drönarattack mot ett datacenter, ett avbrott i en undervattenskabel, en naturkatastrof, ett regionalt krig — kan ta en hel molnregion offline. Den 1 mars 2026 gick båda AWS Mellanöstern-regionerna ner i samma incident. Vi tog det som en lärdom, inte ett hypotetiskt scenario. Arkitekturen behandlar en regional händelse som ett rutinmässigt fel som kunder inte märker.
DNS-leverantörsavbrott
Om företaget som hostar din DNS går ner, blir din tjänst otillgänglig även om alla andra delar av din stack är friska. Detta gäller för Cloudflare, Route 53, alla stora DNS-leverantörer. Vi har beaktat vad som händer när vår DNS-leverantör har en dålig dag.
Certifikatutfärdaravbrott
Om din certifikatutfärdare är oåtkomlig när ditt certifikat behöver förnyas, blir din TLS otillgänglig. Om en certifikatutfärdare komprometteras, blir alla certifikat den har utfärdat ogiltiga. Vi har beaktat vad som händer med TLS när CA-infrastrukturen beter sig fel.
Problem med domänregistratorer
Om din registrator suspenderar ditt konto eller komprometteras, försvinner din domän eller omdirigeras oavsett var DNS hostas. Vi har beaktat vad som händer om vår registrator misslyckas.
Problem med TLD-operatörer
Organisationen som driver en toppdomän (.com, .ai, .io) är i sig en enskild felpunkt. Mindre TLD:er drivs av mindre organisationer med mindre operativ djup. Vi har beaktat vad som händer om en TLD-operatör har en dålig vecka.
E-postleverantörsavbrott
Om din e-postleverantör är nere, kommer återställningskoder för kontot inte fram, registreringsbekräftelser kommer inte fram, kundtjänstens inkorg är otillgänglig. Vi har beaktat vad som händer med autentisering och återställning när vår e-postleverantör är oåtkomlig — och avgörande, vad som händer med resten av produkten medan e-post är nere.
Beroende av SMS/telefonnummer
Många tjänster faller tillbaka på SMS för verifiering när e-post är nere. Vi har beaktat detta och beslutat att inte göra det. Att begära ett telefonnummer lägger till en kategori av personuppgifter som vi inte vill samla in, utsätter kunder för SIM-swap-attacker och lägger till ytterligare ett leverantörsberoende. Vi valde en bättre väg.
Avbrott i operativ kontrollplan
Verktygen vi använder för att hantera vår egen infrastruktur kan själva gå ner: orkestreringsnätverket, koordineringslagret, distributionspipelinen. Var och en är en leverantörsrelation som kan misslyckas. Vi har beaktat konsekvenserna av varje och gradvis minskat vårt beroende av leverantörsdrivna kontrollplan.
Programvarubuggar
Den enskilt mest sannolika orsaken till ett enhetligt avbrott är en bugg i vår egen programvara, distribuerad överallt samtidigt. Ingen geografisk distribution hjälper när varje körande kopia kraschar på samma sätt. Vi har beaktat detta och designat våra distributionsmetoder — canary-utrullningar, snabb återställning, nödstopp — därefter.
Åtgärder från leverantörer på kontonivå
Kontosuspension, faktureringstvister, regulatoriska spärrar och efterlevnad av användarvillkor kan inaktivera vilken enskild leverantörsrelation som helst i ett enda slag. Vi har beaktat konsekvenserna av att varje kritisk leverantörsrelation ensidigt avslutas, och designat mot inlåsning hos en enskild leverantör på varje nivå.
Korrelerade fel
Vissa händelser tar ner flera saker samtidigt — ett stort kabelbrott som påverkar flera rutter, en samordnad attack över tjänster, en naturkatastrof som drabbar både en primär och vad som skulle vara dess backup. Vi har specifikt beaktat korrelerade felmoder: felet med "backuppen" precis när primären också är nere. Arkitekturen är designad så att ingen enskild händelse tar ner både en primär och dess fail-over.
Katastrofala beroenden av personuppgifter
Valvkunder ska inte behöva välja mellan säkerhet och återställbarheten av sina egna data. Vi har beaktat varje plats där användarens valv är beroende av något annat de kan förlora: deras telefonnummer, deras e-postkonto, en enskild enhet, ett enskilt lösenord. Var och en av dessa har antingen eliminerats eller designats bort.
Det operativa teamets nåbarhet
Ett valvföretag måste vara nåbart för sitt eget team under en incident. Vi har beaktat vad som händer med vår förmåga att svara när internet runt våra egna operatörer försämras.
Kryptografisk horisont
Kryptografi är inte statisk. Vi har beaktat den långsiktiga migrationsvägen för varje kryptografisk primitiv vi är beroende av, inklusive post-kvant.
Vad vi inte påstår oss skydda mot
Vi är tydliga med begränsningarna för vad infrastrukturteknik kan uppnå.
Skulle ta ner det globala internet i dagar. Ingenting infrastruktur kan göra hjälper; kunder kan ändå inte nå något.
En klass av händelser som ingen kommersiell infrastruktur kan försvara sig mot unilateralt.
Vi är ärliga om dessa — och vi designar allt annat för att vara motståndskraftigt under antagandet att de inte kommer att inträffa.
Detaljer om arkitekturen under NDA.
Listan ovan är vad vi beaktade. Detaljerna om hur varje försvar är konstruerat — den specifika topologin, leverantörsvalen, övergångsprocedurerna, de kryptografiska protokollen — delas med företagskunder under NDA, med deras säkerhetsteam, i deras upphandlingsprocess.