Cofre imutável
Nada é sobrescrito.
Qualquer outro cofre edita no local. Altere uma senha e a antiga desaparece — sem registro de que ela existiu, sem como provar o que era verdade na terça-feira passada. A Clavitor não sobrescreve. Cada alteração escreve uma nova revisão. O histórico permanece. O registro é completo.
Apenas anexar, em tudo.
Uma credencial na Clavitor não é uma linha que você edita. É uma pilha de revisões. Atualize uma senha e o cofre insere uma nova versão — ele nunca toca na antiga. A revisão mais recente é o valor atual; cada revisão anterior a ela ainda está lá, intacta, em ordem.
01 — Escrever
Uma nova revisão, toda vez
Cada atualização é uma INSERÇÃO, nunca uma ATUALIZAÇÃO. A entrada mantém uma identidade estável; o número da versão sobe. Ler uma credencial retorna a versão mais alta — o mesmo valor que você esperaria — enquanto cada versão anterior permanece exatamente como foi escrita.
02 — Manter
Histórico pela vida do cofre
Revisões antigas são retidas enquanto o cofre existir. Histórico de rotação, o valor antes da violação, o campo como estava em qualquer data — nada disso é descartado. O passado não é um log que você espera que alguém tenha mantido. É o próprio dado.
03 — Excluir
Um "tombstone", não um apagamento
Excluir uma credencial escreve mais uma revisão que a marca como desaparecida. A entrada para de resolver — mas o registro de que ela existiu, e quando foi removida, permanece. Uma exclusão que você pode provar vale mais do que uma exclusão que não deixa rastros.
Por que importa
As perguntas que um cofre mutável não pode responder.
Quando cada edição destrói o que veio antes, classes inteiras de perguntas se tornam irrespondíveis. A imutabilidade as responde por construção.
"Qual era a chave no dia do incidente?"
Um segredo rotacionado geralmente desaparece no momento em que é substituído. Aqui, o valor que estava ativo durante a janela ainda está no cofre, em sua versão, com o timestamp que o prova. Forense deixa de ser arqueologia.
"Quem mudou isso, e o que dizia antes?"
Cada atualização, exclusão, alteração de escopo e alteração de agente escreve um evento de auditoria vinculado à nova revisão. O histórico e o registro de quem o fez são a mesma história, contada de duas maneiras — e nenhuma pode ser silenciosamente revertida. Veja a trilha de auditoria à prova de adulteração →
"Podemos simplesmente desfazer isso?"
Uma rotação ruim, uma edição com o dedo gordo, um agente comprometido que sobrescreveu um campo — quando nada é destruído, recuperar o valor anterior é ler uma versão anterior, não restaurar um backup e torcer para que seja recente o suficiente.
"Algo mudou enquanto não estávamos olhando?"
Não pode mudar silenciosamente. Não há mutação no local para perder. O estado atual é uma revisão com um número, um autor e um timestamp — e assim é cada estado que veio antes dele.
Um princípio, o cofre inteiro.
Imutabilidade não é um recurso adicionado às credenciais. É como cada registro na Clavitor é construído. Suas entradas, o registro de auditoria, os registros de chave encapsulada, o próprio conteúdo destas páginas — tudo apenas anexar, tudo da mesma forma. Não há lugar no sistema onde a verdade é sobrescrita.
Replicado sem conflito
Como uma revisão é escrita uma vez e nunca alterada, copiá-la para o outro lado do planeta é trivial: um cursor apenas para frente com um reconhecimento explícito quando a linha chega. Nenhuma edição para reconciliar, nenhum conflito para resolver, nenhuma questão de "qual cópia está certa". Dados apenas de anexar têm exatamente um histórico.
Criptotexto, mantido — não texto plano, vazado
O histórico retido é criptografado em repouso, exatamente como o valor ativo, com chaves que nunca chegam aos nossos servidores. Manter o passado não lhe custa nada em exposição: um disco roubado contém criptotexto antigo e criptotexto novo, ambos igualmente ilegíveis. Como a criptografia funciona →
A única exceção
Documentamos o único lugar onde aplicamos uma escrita no local.
Honestidade faz parte do design. Existe exatamente um campo que é escrito no local em vez de como uma nova revisão: verified_at, o marcador que registra quando uma credencial funcionou pela última vez. São metadados de uso, não uma alteração de conteúdo — então ele atualiza a revisão mais recente diretamente, e cada marcação é em si registrada em auditoria. Contamos a você sobre isso aqui porque uma exceção não documentada é o que torna uma afirmação de imutabilidade vazia. Esta é a única.
Exclusão, feita corretamente.
Apenas anexar não significa que você nunca pode ser esquecido. Significa que o esquecimento é deliberado, completo e registrado. "Tombstones" por revisão lidam com o caso do dia a dia. Quando uma exclusão real é necessária — uma solicitação da LGPD, o fechamento de uma conta — a exclusão é de cofre inteiro e irreversível, executada como uma operação deliberada, nunca uma sobrescrita silenciosa por campo. Você nunca é editado silenciosamente; quando você é removido, você é removido de propósito e por completo.
Um cofre honesto guarda seu histórico.
Imutabilidade é metade da história. A outra metade é o registro de quem tocou em quê — encadeado, testemunhado e comprovável.