Tutti i segreti sono crittografati end-to-end. Generiamo un hash casuale per crittografare il tuo segreto sul client usando AES-256-GCM (Advanced Encryption Standard - Galois/Counter Mode). La chiave di crittografia non viene mai memorizzata, ma aggiunta al link segreto stesso. Senza il link completo, nessuno (noi inclusi) potrà mai decifrare il tuo messaggio.
Se viene fornita una password, la usiamo per crittografare il tuo segreto oltre alla crittografia standard. Anche con accesso a tutta la nostra infrastruttura, un malintenzionato non potrebbe leggere il tuo messaggio. Dopo che un segreto è stato visualizzato, lo eliminiamo definitivamente dal nostro database. Non esistono backup.
Sicurezza by design
-
Architettura Zero Trust – partiamo dal presupposto che nessuna entità (interna o esterna) sia intrinsecamente affidabile.
-
Crittografia end-to-end – tutte le connessioni sono protette tramite HTTPS. I dati sono crittografati in transito e a riposo per impedire accessi non autorizzati.
-
Superficie di attacco minima – riduciamo complessità ed esposizione limitando il numero di servizi, punti di ingresso e dipendenze in un sistema.
-
Aggiornamenti regolari – manteniamo le dipendenze aggiornate per mitigare le vulnerabilità.
-
Piena trasparenza – tutto il codice è open-source su Github
-
Test di sicurezza automatizzati – usiamo strumenti automatizzati per rilevare vulnerabilità nelle dipendenze.
Infrastruttura
Attori affidabili, poche dipendenze. Abbiamo scelto leader del settore per ospitare la nostra infrastruttura:
- Vercel: sito web e database Postgres
- Flow Swiss AG: archiviazione oggetti (file)