Cassaforte immutabile
Nulla viene mai sovrascritto.
Ogni altra cassaforte modifica sul posto. Modifichi una password e quella vecchia scompare, senza registrazione della sua esistenza, senza modo di dimostrare cosa fosse vero martedì scorso. Clavitor non sovrascrive. Ogni modifica scrive una nuova revisione. La cronologia rimane. La registrazione è completa.
Solo accodamento, fino in fondo.
Una credenziale in Clavitor non è una riga che Lei modifica. È uno stack di revisioni. Aggiorni una password e la cassaforte inserisce una nuova versione, non tocca mai quella vecchia. La revisione più recente è il valore corrente; ogni revisione precedente è ancora lì, intatta, in ordine.
01 — Scrittura
Una nuova revisione, ogni volta
Ogni aggiornamento è un INSERT, mai un UPDATE. La voce mantiene un'identità stabile; il numero di versione aumenta. La lettura di una credenziale restituisce la versione più alta, lo stesso valore che Lei si aspetterebbe, mentre ogni versione precedente rimane esattamente come è stata scritta.
02 — Conservazione
Cronologia per la vita della cassaforte
Le revisioni vecchie vengono conservate per tutto il tempo in cui la cassaforte esiste. La cronologia di rotazione, il valore prima della violazione, il campo come era in una data specifica, nulla viene scartato. Il passato non è un log che Lei spera qualcuno abbia conservato. Sono i dati stessi.
03 — Cancellazione
Un marcatore, non una cancellazione
La cancellazione di una credenziale scrive un'altra revisione che la contrassegna come eliminata. La voce smette di essere risolta, ma la registrazione della sua esistenza e del momento in cui è stata rimossa rimane. Una cancellazione che Lei può dimostrare vale più di una cancellazione che non lascia traccia.
Perché è importante
Le domande a cui una cassaforte mutabile non può rispondere.
Quando ogni modifica distrugge ciò che la precede, intere classi di domande diventano irrispondibili. L'immutabilità le risolve per costruzione.
"Qual era la chiave il giorno dell'incidente?"
Un segreto ruotato di solito scompare nel momento in cui viene sostituito. Qui, il valore che era attivo durante l'intervallo di tempo è ancora nella cassaforte, alla sua versione, con il timestamp che lo dimostra. Le indagini forensi smettono di essere archeologia.
"Chi ha cambiato questo e cosa diceva prima?"
Ogni aggiornamento, cancellazione, modifica dell'ambito e modifica dell'agente scrive un evento di audit collegato alla nuova revisione. La cronologia e la registrazione di chi l'ha fatta sono la stessa storia, raccontata in due modi, e nessuno dei due può essere tranquillamente riavvolto. Vedere il log di audit antimanomissione →
"Possiamo semplicemente annullare quello?"
Una rotazione errata, un errore di digitazione, un agente compromesso che ha sovrascritto un campo: quando nulla viene distrutto, recuperare il valore precedente significa leggere una versione precedente, non ripristinare un backup e sperare che sia abbastanza recente.
"Qualcosa è cambiato mentre non stavamo guardando?"
Non può cambiare silenziosamente. Non c'è mutazione sul posto da perdere. Lo stato corrente è una revisione con un numero, un autore e un timestamp, e così è ogni stato che lo precede.
Un principio, l'intera cassaforte.
L'immutabilità non è una funzionalità aggiunta alle credenziali. È il modo in cui ogni record in Clavitor è costruito. Le Sue voci, il log di audit, i record delle chiavi incapsulate, il contenuto stesso di queste pagine, tutto solo accodamento, tutto nello stesso modo. Non c'è nessun posto nel sistema dove la verità viene sovrascritta.
Replicato senza conflitti
Poiché una revisione viene scritta una sola volta e mai alterata, copiarla dall'altra parte del pianeta è banale: un cursore unidirezionale con un esplicito riconoscimento quando la riga arriva. Nessuna modifica da riconciliare, nessun conflitto da risolvere, nessuna domanda su "quale copia è corretta". I dati solo accodamento hanno esattamente una cronologia.
Testo cifrato, conservato, non testo in chiaro, trapelato
La cronologia conservata è crittografata a riposo, esattamente come il valore attivo, con chiavi che non raggiungono mai i nostri server. Conservare il passato non Le costa nulla in termini di esposizione: un disco rubato contiene testo cifrato vecchio e nuovo testo cifrato, entrambi ugualmente illeggibili. Come funziona la crittografia →
L'unica eccezione
Documentiamo l'unico posto in cui applichiamo una modifica sul posto.
L'onestà fa parte del design. Esiste esattamente un campo che viene scritto sul posto anziché come nuova revisione: verified_at, il marcatore che registra quando una credenziale ha funzionato l'ultima volta. Sono metadati di utilizzo, non una modifica del contenuto, quindi aggiorna direttamente la revisione più recente, e ogni marcatura viene registrata nel log di audit. Le parliamo qui perché un'eccezione non documentata è ciò che rende vuota un'affermazione di immutabilità. Questa è l'unica.
Cancellazione, fatta correttamente.
Solo accodamento non significa che Lei non possa mai essere dimenticato. Significa che l'oblio è deliberato, completo e registrato. I marcatori per revisione gestiscono il caso quotidiano. Quando è necessaria una vera cancellazione, una richiesta GDPR, la chiusura di un account, la cancellazione è sull'intera cassaforte e irreversibile, eseguita come operazione deliberata, mai una sovrascrittura silenziosa per campo. Lei non viene mai modificato silenziosamente; quando viene rimosso, viene rimosso di proposito e per intero.
Una cassaforte onesta conserva la sua cronologia.
L'immutabilità è metà della storia. L'altra metà è la registrazione di chi ha toccato cosa, concatenata, testimoniata e dimostrabile.