Privacidade e segurança: nossa nova camada de criptografia

Multi-tenancy é fácil de prometer e difícil de provar. A partir desta semana, clientes Enterprise da Elohia podem trazer suas próprias chaves de criptografia (BYOK) — e nem nosso próprio time tem como descriptografar credenciais armazenadas no seu tenant.

O que muda

• Tokens OAuth, refresh tokens e API keys agora podem ser cifrados com chave do cliente
• A chave nunca sai do KMS do cliente (AWS KMS, GCP KMS ou Azure Key Vault)
• Operação cripto-mediada: o servidor pede pra KMS descriptografar só na hora do uso
• Auditoria completa: cada decrypt vira evento no seu KMS, com tenant + agente + horário

Como funciona em produção

Quando um agente precisa, por exemplo, postar uma mensagem no Slack do cliente, o fluxo passa por: (1) recuperar token cifrado do Mongo, (2) chamar KMS do cliente pra decrypt em memória, (3) usar o token na chamada Slack, (4) descartar o plaintext. O token plaintext nunca toca disco.

O que isso destrava

• Conformidade com políticas internas que exigem controle total da chave
• Revogação imediata: rotacionou a chave no KMS, todos os tokens viram inválidos
• Auditoria fora da Elohia: sua equipe vê 100% dos acessos no seu próprio cofre
• Defesa em profundidade: mesmo se nosso banco fosse exposto, dados sensíveis não seriam legíveis

Como ativar

BYOK está disponível em planos Enterprise com setup assistido. O onboarding leva 30-60min: você gera a chave no seu KMS, dá permissão pro service account da Elohia, e a gente migra os secrets existentes. Sem downtime.