Bóveda inmutable
Nada se sobrescribe jamás.
Las otras bóvedas editan en el lugar. Cambie una contraseña y la anterior desaparece; no queda registro de que haya existido, ni forma de probar lo que era cierto el martes pasado. Clavitor no sobrescribe. Cada cambio escribe una nueva revisión. El historial permanece. El registro está completo.
Solo añadir, en todos los niveles.
Una credencial en Clavitor no es una fila que edita. Es una pila de revisiones. Actualice una contraseña y la bóveda inserta una nueva versión; nunca toca la anterior. La última revisión es el valor actual; cada revisión anterior sigue ahí, intacta, en orden.
01 — Escribir
Una nueva revisión, cada vez
Cada actualización es una INSERCIÓN, nunca una ACTUALIZACIÓN. La entrada mantiene una identidad estable; el número de versión aumenta. Leer una credencial devuelve la versión más alta —el mismo valor que esperaría— mientras que cada versión anterior permanece exactamente como se escribió.
02 — Conservar
Historial durante la vida de la bóveda
Las revisiones antiguas se conservan mientras exista la bóveda. El historial de rotación, el valor anterior a la brecha, el campo tal como estaba en cualquier fecha; nada de esto se descarta. El pasado no es un registro que espera que alguien haya guardado. Son los datos mismos.
03 — Eliminar
Una marca de tumba, no un borrado
Eliminar una credencial escribe una revisión más que la marca como desaparecida. La entrada deja de resolverse, pero el registro de que existió y cuándo se eliminó permanece. Una eliminación que puede probar vale más que una eliminación que no deja rastro.
Por qué importa
Las preguntas que una bóveda mutable no puede responder.
Cuando cada edición destruye lo anterior, clases enteras de preguntas se vuelven irrespondibles. La inmutabilidad las responde por construcción.
"¿Cuál era la clave el día del incidente?"
Un secreto rotado suele desaparecer en el momento en que se reemplaza. Aquí, el valor que estaba activo durante el período sigue en la bóveda, en su versión, con la marca de tiempo que lo prueba. La investigación forense deja de ser arqueología.
"¿Quién cambió esto y qué decía antes?"
Cada actualización, eliminación, cambio de alcance y cambio de agente escribe un evento de auditoría vinculado a la nueva revisión. El historial y el registro de quién lo hizo son la misma historia, contada de dos maneras, y ninguna puede ser rebobinada silenciosamente. Ver el rastro de auditoría a prueba de manipulaciones →
"¿Podemos simplemente deshacer eso?"
Una rotación fallida, una edición con el dedo gordo, un agente comprometido que sobrescribió un campo; cuando nada se destruye, recuperar el valor anterior es leer una versión anterior, no restaurar una copia de seguridad y esperar que sea lo suficientemente reciente.
"¿Cambió algo mientras no mirábamos?"
No puede cambiar silenciosamente. No hay mutación en el lugar que pasar por alto. El estado actual es una revisión con un número, un autor y una marca de tiempo, y lo mismo ocurre con cada estado anterior.
Un principio, toda la bóveda.
La inmutabilidad no es una característica añadida a las credenciales. Es cómo se construye cada registro en Clavitor. Sus entradas, el registro de auditoría, los registros de claves cifradas, el contenido mismo de estas páginas; todo solo añadir, todo de la misma manera. No hay ningún lugar en el sistema donde la verdad se sobrescriba.
Replicado sin conflictos
Dado que una revisión se escribe una vez y nunca se altera, copiarla al otro lado del planeta es trivial: un cursor unidireccional con un acuse de recibo explícito cuando la fila llega. Ninguna edición que conciliar, ningún conflicto que resolver, ninguna pregunta sobre "qué copia es la correcta". Los datos de solo añadir tienen exactamente un historial.
Cifrado, conservado, no texto plano, filtrado
El historial conservado está cifrado en reposo, exactamente como el valor activo, con claves que nunca llegan a nuestros servidores. Conservar el pasado no le cuesta nada en exposición: un disco robado contiene texto cifrado antiguo y texto cifrado nuevo, ambos igualmente ilegibles. Cómo funciona el cifrado →
La única excepción
Documentamos el único lugar donde escribimos en el lugar.
La honestidad es parte del diseño. Hay exactamente un campo que se escribe en el lugar en lugar de como una nueva revisión: verified_at, el marcador que registra cuándo funcionó por última vez una credencial. Son metadatos de uso, no un cambio de contenido; por lo tanto, actualiza la última revisión directamente, y cada marca se registra en auditoría. Le informamos al respecto aquí porque una excepción no documentada es lo que hace que una afirmación de inmutabilidad sea hueca. Esta es la única.
Eliminación, hecha correctamente.
Solo añadir no significa que nunca pueda ser olvidado. Significa que el olvido es deliberado, completo y registrado. Las marcas de tumba por revisión gestionan el caso cotidiano. Cuando se requiere un borrado real —una solicitud del RGPD, el cierre de una cuenta— la eliminación es de toda la bóveda e irreversible, ejecutada como una operación deliberada, nunca una sobrescritura silenciosa por campo. Nunca se le edita silenciosamente; cuando se le elimina, se le elimina a propósito y en su totalidad.
Una bóveda honesta conserva su historial.
La inmutabilidad es la mitad de la historia. La otra mitad es el registro de quién tocó qué, encadenado, presenciado y demostrable.