Clavclav
Documentação Técnica

Arquitetura de Upload de Arquivos

Saiba como protegemos seus arquivos com segurança de nível empresarial e criptografia zero knowledge opcional

Arquitetura de upload e armazenamento de arquivos

Visão Geral

Nossa plataforma oferece uma arquitetura robusta de armazenamento de arquivos com dois níveis de segurança:

  • 1
    Modo padrão: Armazenamento seguro com criptografia gerenciada pela AWS
  • 2
    Modo Conhecimento Zero (Opcional): Criptografia ponta a ponta onde nem mesmo os administradores do sistema podem acessar o conteúdo do seu arquivo

Recomendação do modo de criptografia

Recomendamos usar o Modo Padrão, pois ele permite a validação com tecnologia de IA para verificar automaticamente se seus arquivos de conformidade estão preenchidos corretamente. No entanto, se precisar armazenar informações altamente confidenciais, você pode ativar o Modo Zero Knowledge, que fornece privacidade máxima, mas desativa a validação automática de IA.

1. Infraestrutura de armazenamento (AWS S3)

1.1 Políticas de Segurança de Produção

Todos os arquivos são armazenados em buckets do Amazon S3 configurados com as mais rígidas políticas de segurança:

Bloqueio de acesso público

  • Acesso público completamente bloqueado: nenhum arquivo pode ser acessado publicamente
  • ACLs públicas bloqueadas em todos os níveis
  • Políticas públicas impedidas
  • Garantir que os buckets nunca serão expostos publicamente

Criptografia obrigatória

  • Criptografia obrigatória em repouso: todos os arquivos são criptografados automaticamente quando armazenados
  • AWS KMS (Key Management Service) para controle adicional de chaves
  • Política de negação: uploads sem criptografia são rejeitados automaticamente
  • Validação de chave: somente chaves KMS autorizadas são aceitas

Transporte Seguro

  • HTTPS obrigatório: todas as comunicações com S3 devem usar criptografia em trânsito
  • Política de negação: qualquer tentativa de acesso via HTTP não criptografado é automaticamente bloqueada

Controle de versão de arquivo

  • Controle de versão habilitado: todas as versões de um arquivo são mantidas
  • Proteção contra exclusão acidental: versões anteriores podem ser recuperadas
  • Gerenciamento do ciclo de vida: versões antigas são gerenciadas automaticamente para otimizar custos

Bloqueio de objeto (opcional)

  • Retenção configurável: os arquivos podem ser bloqueados contra modificação ou exclusão por períodos específicos
  • Conformidade regulatória: atende aos requisitos de conformidade que exigem imutabilidade de documentos
  • Modos de retenção: Governança ou Conformidade, dependendo dos requisitos

Controle de acesso granular

  • Autenticação via funções IAM: somente aplicativos autorizados podem acessar arquivos
  • Princípio do menor privilégio: cada componente possui apenas as permissões necessárias
  • Auditoria de acesso: registros de todos os acessos podem ser habilitados para conformidade

Proteção Adicional

  • Políticas de ciclo de vida: uploads incompletos são automaticamente abortados após um período configurável
  • Políticas de ciclo de vida: versões antigas são gerenciadas automaticamente
  • CORS configurado: somente origens autorizadas podem fazer upload/download
  • Registro de acesso: todos os acessos ao bucket podem ser registrados para auditoria

Classificação de dados

Todos os buckets são classificados e marcados com: DataClassification: Sensitive, Compliance: Required, Purpose: File storage bucket for organization documents - Compliance Retention

2. Arquitetura de Conhecimento Zero (Opcional)

2.1 O que é Conhecimento Zero?

A arquitetura Zero Knowledge é um sistema de criptografia ponta a ponta onde:

  • Seus arquivos são criptografados em seu navegador antes de serem enviados ao servidor
  • Somente você e membros autorizados da sua organização podem descriptografar os arquivos
  • Nem mesmo os administradores do sistema têm acesso ao conteúdo do seu arquivo
  • Nem mesmo os funcionários da empresa podem visualizar seus documentos
  • Nem mesmo os invasores que obtêm acesso ao banco de dados podem ler os arquivos

2.2 Como funciona?

A arquitetura usa um sistema de chave criptográfica de três camadas:

Camada 1: par de chaves do usuário

Ao criar sua conta:
1. Um par de chaves criptográficas é gerado em seu navegador
2. Sua chave privada é criptografada com sua senha (nunca sai do navegador em texto simples)
3. Sua chave pública é enviada ao servidor
4. A chave privada criptografada é armazenada com segurança

Usa o algoritmo Argon2id (resistente a ataques de força bruta) para derivar uma chave de sua senha, que então criptografa sua chave privada com AES-256-GCM.

Camada 2: Chave Mestra da Organização (TMK - Chave Mestra do Locatário)

Quando a criptografia está habilitada para sua organização:
1. Uma chave mestra é gerada no navegador do administrador
2. Esta chave é “encapsulada” para cada membro da organização usando suas chaves públicas
3. Cada membro recebe sua própria cópia criptografada do TMK
4. Somente quem possui a chave privada pode “descapsular” o TMK

Usa o algoritmo ECDH (Elliptic Curve Diffie-Hellman) para criar um segredo compartilhado exclusivo entre cada usuário e a organização.

Camada 3: Chave do Arquivo (DEK - Chave de Criptografia de Dados)

Ao fazer upload de um arquivo:
1. Uma chave exclusiva é gerada para esse arquivo específico
2. O arquivo é criptografado com essa chave (AES-256-GCM)
3. A chave do arquivo é criptografada com o TMK
4. Apenas a versão criptografada da chave é armazenada no servidor

2.3 Fluxo de upload

1. Você seleciona um arquivo em seu navegador
2. Você digita sua senha (se ainda não estiver logado)
3. Sua senha descriptografa sua chave privada (localmente)
4. Your private key "decapsulates" the organization's TMK (locally)
5. Uma nova chave é gerada para o arquivo (localmente)
6. O arquivo é criptografado com essa chave (localmente)
7. A chave do arquivo é criptografada com o TMK (localmente)
8. O arquivo criptografado é enviado para S3
9. A chave do arquivo (criptografada) é salva no banco de dados
10. Seu arquivo original NUNCA sai do seu navegador em texto simples

3. Por que os administradores não têm acesso?

3.1 O que está armazenado no servidor

ItemFormato armazenadoPode ser descriptografado?
Arquivo no S3Criptografado (AES-256-GCM)
Não (precisa de chave de arquivo)
Chave do arquivoCriptografado com TMK
Não (precisa de TMK)
Organização TMKCriptografado com a chave pública de cada usuário
Não (precisa da chave privada do usuário)
Chave privada do usuárioCriptografado com senha
Não (precisa da senha do usuário)
Senha do usuárioNUNCA armazenado
Não existe no servidor
Chave pública do usuárioTexto simples
Sim, mas sozinho não descriptografa nada

Cadeia de segurança

Se faltar algum elo desta cadeia, o arquivo permanece inacessível. Nem mesmo os administradores de sistema conseguem quebrar essa cadeia.

4. Proteção por senha e chave de usuário

4.1 Sua senha NUNCA é enviada ao servidor

Ao fazer login:
1. Você digita sua senha no navegador
2. A senha é processada localmente (Argon2id)
3. Uma chave é derivada da sua senha (no seu navegador)
4. Essa chave descriptografa sua chave privada (no seu navegador)
5. A senha original é DESCARTADA da memória
6. NADA relacionado à senha é enviado ao servidor

4.2 Algoritmo de Derivação de Chave (Argon2id)

Utilizamos Argon2id, o algoritmo mais moderno e seguro para derivação de chaves: Argon2id

  • Vencedor da competição de hash de senha (2015)
  • Resistente a ataques GPU e ASIC: Requer muita RAM
  • Proteção contra força bruta: Milhares de tentativas por segundo tornam-se impraticáveis
  • Parâmetros configuráveis: A segurança pode ser aumentada ao longo do tempo
Configuração usada:
  • Memory Cost: 65,536 KB (64 MB)
  • Custo de tempo: 3 iterações
  • Paralelização: 1
  • Salt: 16 bytes aleatórios (exclusivos para cada usuário)

5. Auditoria e Conformidade

5.1 Registro de Operações Principais

AçãoO que está registradoPropósito
Criação de TMKQuem criou, quando, para qual organizaçãoAuditoria de inicialização
Encapsulamento de usuárioQuem concedeu acesso, a quem, quandoControle de acesso
Rotação de chaveQuem rodou, versão antiga, versão novaGerenciamento de segurança
Revogação de acessoQuem revogou, de quem, razãoConformidade

Optional Encryption

6.1 Escolha da Organização

ModoSegurançaDesempenhoUso recomendado
PadrãoAlto (criptografia AWS)RápidoDocumentos internos, conformidade com padrões
Conhecimento ZeroMáximo (E2EE)NormalDados sensíveis, conformidade rigorosa, privacidade total

Criptografia Opcional

A criptografia Zero Knowledge é opcional e pode ser habilitada por organização. Somente proprietários ou administradores podem ativá-lo.

7. Recuperação de acesso

Se o usuário esquecer a senha

Não podemos redefinir sua senha sem que você perca o acesso aos arquivos criptografados

Opções disponíveis:

  1. Recuperação via dica de senha: Se configurado
  2. Novo par de chaves: O administrador pode reencapsular o TMK para uma nova chave
    • Você mantém o acesso aos arquivos
    • Perder o acesso à sua antiga chave privada
    • O processo requer aprovação do administrador

8. Algoritmos e Padrões Utilizados

Criptografia Simétrica

AES-256-GCM:

  • • Tamanho da chave: 256 bits
  • • Modo: Modo Galois/Counter (autenticado)
  • • Nonce: 96 bits aleatórios
  • • Padrão: NIST FIPS 197

Criptografia Assimétrica

ECDH com curva P-256:

  • • Também conhecido como: secp256r1, prime256v1
  • • Tamanho da chave: 256 bits (equivalente a RSA 3072)
  • • Padrão: NIST FIPS 186-4

Derivação de Chave

Argon2id:

  • • Tipo: Hybrid Argon2 (resistente a canal lateral e GPU)
  • • Vencedor da competição de hash de senha
  • • Padrão: RFC 9106

Funções hash

SHA-256:

  • • Para impressões digitais de chave pública
  • • Padrão: NIST FIPS 180-4

9. Conformidade e Certificações

Regulamentos

LGPD (Lei Geral de Proteção de Dados - Brasil)
  • • Criptografia forte de dados pessoais confidenciais
  • • Minimização de acesso (conhecimento zero)
  • • Registros de auditoria completos
GDPR (Regulamento Geral de Proteção de Dados - Europa)
  • • Direito ao esquecimento: exclusão permanente por meio de exclusão reversível
  • • Minimização de dados: o servidor não armazena dados de texto simples
  • • Privacidade desde o projeto: criptografia desde o início

Padrões de segurança

Estrutura de segurança cibernética do NIST
  • • Criptografia em repouso e em trânsito
  • • Gerenciamento robusto de identidade e acesso
  • • Monitoramento contínuo via logs
OWASP Top 10
  • • Proteção contra autenticação quebrada
  • • Exposição de dados confidenciais evitada
  • • Falhas criptográficas mitigadas

10. Benefícios da Arquitetura

Para sua organização

Segurança Máxima

  • • Arquivos protegidos mesmo em caso de violação total do servidor
  • • Conformidade com os regulamentos mais rigorosos
  • • Proteção contra ameaças internas (funcionários da plataforma)

Conformidade facilitada

  • • Registros de auditoria completos
  • • Versionamento automático de arquivos
  • • Trilha de quem acessou o quê e quando

Controle total

  • • Você decide quem tem acesso
  • • Você gerencia as chaves (encapsulamento)
  • • Você pode revogar o acesso a qualquer momento

Para seus usuários

Privacidade Total

  • • Somente pessoas autorizadas podem ver os arquivos
  • • Nem mesmo a empresa fornecedora da plataforma tem acesso
  • • Proteção contra violações de dados

Transparência

  • • Você sabe exatamente como seus dados estão protegidos
  • • Algoritmos padrão da indústria (auditáveis)
  • • Código baseado em especificações públicas

Facilidade de uso

  • • A criptografia acontece automaticamente
  • • Não há necessidade de gerenciar chaves manualmente
  • • Interface igual aos serviços sem criptografia

11. Perguntas frequentes

A criptografia retarda o upload/download?

O impacto é mínimo. A criptografia acontece no seu navegador usando aceleração de hardware (AES-NI em processadores modernos). Para arquivos de até 100 MB, a diferença é imperceptível. Para arquivos maiores, pode haver alguns segundos extras.

O que acontece se eu perder minha senha?

Como sua senha é a única maneira de descriptografar sua chave privada, você perderia o acesso aos arquivos criptografados. Portanto, recomendamos:

• Use um gerenciador de senhas confiável

• Configure uma dica de senha forte

• Um administrador pode reencapsular o TMK para uma nova chave sua (você não perderá acesso aos arquivos da organização)

Você pode recuperar meus arquivos se eu esquecer minha senha?

Não. Esta é a essência do Conhecimento Zero - nem mesmo nós podemos acessar seus arquivos sem sua senha. Um administrador da organização pode conceder acesso novamente por meio do reencapsulamento do TMK, mas sua chave privada antiga ficará inacessível.

É possível desabilitar a criptografia depois de habilitada?

Não recomendamos, mas é tecnicamente possível:

1. Novos uploads não serão criptografados

2. Arquivos já criptografados permanecem criptografados

3. Você precisará decidir se deseja descriptografar e reenviar arquivos antigos

Como posso saber se a criptografia está funcionando?

Indicadores visuais:

• O selo "Criptografado" aparece nos arquivos

• Metadados mostram algoritmo e versão

• Os registros de auditoria registram operações importantes

• Você pode inspecionar dados brutos no S3 (serão ilegíveis)

Posso compartilhar arquivos com pessoas fora da organização?

Os arquivos criptografados só podem ser acessados por membros da organização que possuem o TMK encapsulado. Para compartilhar externamente:

• Adicione a pessoa como membro da organização (receberá TMK)

• Baixe e reenvie o arquivo descriptografado por outro meio

• Use links de compartilhamento temporários (recurso futuro)

A criptografia protege os metadados dos arquivos?

• Nome do arquivo

• Tamanho do arquivo

• Data do upload

• Tipo MIME

• Quem fez o upload

Isso é necessário para funcionalidades básicas (pesquisa, classificação, etc.). Se você precisar de proteção total de metadados, entre em contato conosco para soluções personalizadas.

Qual é o desempenho com muitos arquivos criptografados?

A criptografia não afeta o desempenho da listagem ou da pesquisa, pois essas operações usam apenas metadados (não criptografados). A descriptografia só acontece quando você baixa/visualiza o arquivo.

12. Contato e Suporte

Para perguntas sobre:

  • Ativação de criptografia: Entre em contato com nossa equipe de suporte
  • Principais problemas: Nossa equipe de segurança pode ajudar
  • Conformidade e auditoria: Podemos fornecer documentação adicional
  • As soluções empresariais podem ter requisitos específicos

Documento atualizado em: Janeiro de 2026

1.0

Documentação Pública