Denetim + uyumluluk
GDPR DSAR, hesap silme, saklama politikası, veri ikameti, karma-zincirli denetim kaydı. Tedarik (procurement) / güvenlik incelemesi sorularına kanıtlı yanıtlar.
Tedarik incelemesi ve güvenlik anketleri (security questionnaire) küçük bir soru kümesini paylaşır:
- Veriye kim erişebilir?
- Ne kadar yaşar?
- Kullanıcı dışa aktarma isterse ne olur?
- Silme isterse ne olur?
Moonborn her birine API + arayüz + imzalı zarf ile yanıt gönderir.
Bu kullanım senaryosu sana uyar mı?
- Moonborn sağlayıcı değerlendirmesi yapıyorsun (tedarik incelemesi)
- SOC 2 / GDPR / HIPAA / sektöre özgü kontrol belgeliyorsun
- DSAR veya silinme hakkı isteklerine 30 gün içinde yanıt vermen lazım
- Denetime-hazır kayıt (karma-zincirli, değiştirilemez) gerekiyor
Gizlilik (privacy) işlemleri
| İşlem | API | Detay |
|---|---|---|
| DSAR (veri öznesi erişim talebi) | POST /v1/privacy/exports | Talep eden kullanıcıya bağlı her kayıt imzalı zarfta (JSON / YAML) |
| Hesap silme | POST /v1/privacy/delete | 30 gün geçiş süresi; sonra kriptografik onaylı kalıcı silme |
| Kaynak başı silme | POST /v1/privacy/delete/{type}/{id} | Persona, sohbet oturumu, bellek parçası |
| Saklama politikası | privacy.retention.* yapılandırması | Kaynak başına; varsayılan plana göre |
| DPA (veri işleme sözleşmesi) | GET /v1/privacy/dpa | İmzalı Veri İşleme Sözleşmesi; kabul kayda alınır |
Saklama varsayılanları (plan başına)
| Kaynak | Free | Pro | Team | Enterprise |
|---|---|---|---|---|
| Denetim kaydı | 30g | 90g | 1y | 7y |
| Sohbet oturumu | 30g | 1y | 2y | özel |
| Persona | sınırsız | sınırsız | sınırsız | sınırsız |
| Bellek parçası | 7g | 90g | 1y | özel |
| API anahtarı (yenilenmiş) | 7g | 30g | 30g | özel |
Enterprise planı sınırlarında çalışma alanı başına geçersiz kılma mümkündür.
Denetim kaydı
Değiştirilemez (immutable) — her yazma karma-zincirlidir:
event_n.hash = sha256(event_n.payload || event_{n-1}.hash)İlk olay organizasyon-bağlı bir tohumdan (seed) başlar. Kurcalama denemesi zinciri kırar — yeniden hash'leyerek doğrulanabilir.
Kapsanan olaylar:
- Persona mutasyonları (oluştur / güncelle / refine / fork / arşivle / sil)
- Sohbet oturumları (aç / mesaj / kapat)
- Üye değişiklikleri (davet / rol değişikliği / kaldır)
- Yapılandırma düzenlemeleri (çalışma alanı / organizasyon)
- API anahtarı yenilemeleri
- Webhook gönderimleri
- Faturalama olayları
Dışa aktarım: POST /v1/audit/exports (Team ve üzeri) — imzalı arşiv, kendi arşiv sistemine. Doğrulama betiğiyle kaydın dokunulmadığını sonradan kanıtlayabilirsin.
Detay: Denetim kaydı dışa aktarımı.
Veri ikameti
| Bölge | Lokasyon | Kilit |
|---|---|---|
| ABD | AWS us-east-1 (Virginia) | Organizasyon kaydında ayarlanır, sonrasında kilitli |
| AB | AWS eu-central-1 (Frankfurt) | Organizasyon kaydında ayarlanır, sonrasında kilitli |
Bölgeler arası okuma veritabanı sınırında engellenir — politika kontrolü değil, fiziksel izolasyondur.
Bölge değiştirmek için: dışa aktar + yeni-bölgede-yeni-organizasyon + içe aktar. Uçuş sırasında geçiş (in-flight migration) yoktur (ADR 0011). Detay: Veri ikameti yapılandırması.
Uyumluluk durumu
| Standart | Durum |
|---|---|
| GDPR | ✓ Tam yaşam döngüsü (onay, erişim, taşınabilirlik, silme). Varsayılan plan. |
| SOC 2 Type II | Süreçte; rapor yayınlandığında duyurulur |
| HIPAA BAA | Enterprise; istek üzerine |
| PCI-DSS | Kart verisi saklamayız (Stripe vekil) |
| CCPA | ✓ DSAR + opt-out + silme mekanizmaları |
| DPA mevcut | ✓ Varsayılan plan |
Denetim zinciri — nasıl doğrulanır
Kayıt + doğrulama betiği dışa aktar:
# 1. Denetim kaydı + doğrulama betiğini dışa aktar
curl -X POST https://api.moonborn.co/v1/audit/exports \
-H "Authorization: Bearer $MOONBORN_API_KEY" \
-d '{"range": "1y", "format": "jsonl"}' > export.tar.gz
# 2. Arşivi aç (script.js + audit-log.jsonl)
tar xzf export.tar.gz
# 3. Zinciri çevrimdışı doğrula
node script.js audit-log.jsonl
# → "Chain verified: 12,453 events, no tampering detected"Arşivleme sistemin doğrulamayı sonra yeniden çalıştırabilir — yıllar sonra "bu kayıt dokunulmamış mı?" sorusuna kanıtlı yanıt.
Plan gereksinimi
| Yetenek | Free | Pro | Team | Enterprise |
|---|---|---|---|---|
| GDPR DSAR | ✓ | ✓ | ✓ | ✓ |
| Hesap silme | ✓ | ✓ | ✓ | ✓ |
| Denetim kaydı okuma | ✓ (30g) | ✓ (90g) | ✓ (1y) | ✓ (7y) |
| Denetim kaydı dışa aktarımı (imzalı) | — | — | ✓ | ✓ |
| Veri ikameti kilidi | — | — | — | ✓ |
| Bölgeler arası engelleme | — | — | — | ✓ |
| HIPAA BAA | — | — | — | istek üzerine |