Audit + Compliance

Procurement-Reviews und Security-Questionnaires teilen ein kleines Set von Fragen: wer kann auf die Daten zugreifen, wie lange leben sie, was passiert wenn ein Nutzer Export anfordert, was passiert wenn er Löschung anfordert. Moonborn versendet Antworten auf jede.

Wann das passt

• Procurement-Reviews von Moonborn als Anbieter.
• Compliance-Teams dokumentieren Kontrollen für SOC 2, GDPR, HIPAA (Enterprise auf Anfrage) oder branchenspezifische Frameworks.
• Privacy-Teams antworten auf Data-Subject-Access-Requests (DSARs) oder Right-to-Erasure-Anfragen.
• Audit-Vorbereitung — einen sauberen, hash-chained Log ziehen, wer was getan hat.

Was mitkommt

Privacy-Operationen

• DSARs: POST /v1/privacy/export initiiert einen Data-Subject- Access-Request. Output ist ein signiertes Envelope (JSON oder YAML), das jeden Record abdeckt, der mit dem anfordernden Nutzer verbunden ist. Verfügbar per API oder Produkt-UI.
• Account-Deletion: POST /v1/privacy/delete tritt eine 30-tägige Grace-Period an (konfigurierbar per privacy.retention.account_deletion_grace_days). Nach Grace werden Daten mit kryptografischer Bestätigung hard-deleted.
• Per-Resource-Deletion: POST /v1/privacy/delete/{resource_type}/{id} lässt Nutzer eine spezifische Persona, Chat-Session oder Memory-Chunk löschen, ohne den ganzen Account zu kassieren.
• Retention-Policies: konfigurierbar pro Resource via privacy.retention.*. Defaults variieren je Tier; Enterprise kann innerhalb der Plan-Limits überschreiben.
• DPA: signiertes Data-Processing-Agreement verfügbar via GET /v1/privacy/dpa, Akzeptanz aufgezeichnet.

Audit-Log

• Immutable: jeder Write zu audit_log ist hash-chained — die Zeile enthält einen Hash des Hashes der vorigen Zeile + ihrem eigenen Payload, sodass Tampering erkennbar ist.
• Umfassend: Persona-Mutationen, Chat-Sessions, Member-Änderungen, Config-Edits, API-Key-Rotationen, Webhook-Deliveries, Billing- Events.
• Retention: 1 Jahr (Pro/Team), 7 Jahre (Enterprise). Per- Workspace-Override innerhalb der Plan-Limits.
• Exportierbar: POST /v1/audit/export (Team+) produziert ein signiertes Archiv zur Archivierung in deinem eigenen Retention- System.

Data Residency (Enterprise)

• US + EU-Regionen. Bei Org-Signup gewählt, danach gelockt (ADR 0011).
• Cross-Region-Read an der Datenbank-Grenze geblockt — kein Policy- Check, eine physische Isolation.
• Migration erfordert Export + Neu-Org-in-Neuer-Region + Import (keine In-Flight-Migration).

Compliance-Status

• GDPR: voller Lifecycle-Support — Consent, Access, Portability, Erasure. Default-Tier.
• SOC 2 Type II: in Bearbeitung (wir publishen, wenn fertig).
• HIPAA: verfügbar auf Enterprise-BAA, auf Anfrage.
• Branchenspezifisch (PCI DSS für Billing-Context-Kunden): wir reichen Stripe's PCI-Scope durch; wir speichern keine Card-Daten.

Wie die Audit-Chain funktioniert

event_n.hash = sha256(event_n.payload || event_{n-1}.hash)

Das erste Event in einer Chain wird von einem org-gebundenen Secret gesäht. Jeder Tamper-Versuch bricht die Chain am Modifikationspunkt — verifizierbar durch Re-Hashing.

Exportiere den Log + ein Verification-Script via POST /v1/audit/export; dein Archivsystem kann die Verifikation später erneut laufen lassen, um zu beweisen, dass der Log nicht angefasst wurde.

Was dieser Use Case NICHT ist

• Kein SIEM. Audit-Log ist ein Record, keine Real-Time-Monitoring- Oberfläche. Paare mit Datadog, Splunk etc. für SOC-style Monitoring.
• Kein Compliance-Zertifizierer. Moonborn liefert die Kontrollen; dein Auditor zertifiziert deine Nutzung.
• Kein Ersatz für deine eigene DPIA. Data-Protection-Impact- Assessments sind weiterhin bei dir.

Tarif

• GDPR + DSAR + Retention: jeder Tier.
• Audit-Log: jeder Tier (Retention variiert).
• Audit-Export: Team und höher.
• Data-Residency-Lock + Cross-Region-Prevention + 7-Jahre-Retention: Enterprise.

Weiter

• Identity-Stack: Enterprise RBAC + SSO use case.
• Audit-Export-Workflow: Audit log export guide.
• Residency-Konfiguration: Data residency config guide.
• API-Oberfläche: Privacy + Audit API references.