Audit + compliance

Procurement review'ları ve güvenlik anketleri küçük bir soru setini paylaşır: veriye kim erişebilir, ne kadar yaşar, kullanıcı export istediğinde ne olur, silme istediğinde ne olur. Moonborn her birine cevap gönderir.

Bu ne zaman uyar

• Moonborn'un satıcı olarak procurement review'ları.
• Compliance ekipleri SOC 2, GDPR, HIPAA (Enterprise istek üzerine) ya da sektöre özel framework'ler için kontrol dokümante eder.
• Privacy ekipleri data-subject access request'lerine (DSAR'lara) ya da right-to-erasure isteklerine yanıt verir.
• Audit hazırlığı — kim ne yaptı'nın temiz, hash-zincirli log'unu çekmek.

Ne gönderir

Privacy operasyonları

• DSAR'lar: POST /v1/privacy/export Data Subject Access Request'i başlatır. Çıktı, talep eden kullanıcıya bağlı her kaydı kapsayan imzalı bir envelope (JSON ya da YAML). API ya da ürün UI üzerinden.
• Hesap silme: POST /v1/privacy/delete 30 günlük grace period'a girer (privacy.retention.account_deletion_grace_days ile konfigüre edilebilir). Grace sonrası veri kriptografik onayla hard-delete edilir.
• Resource başı silme: POST /v1/privacy/delete/{resource_type}/{id} kullanıcıların tüm hesabı silmeden belirli bir persona, chat oturumu ya da memory chunk'ını silmesine izin verir.
• Retention policy'leri: privacy.retention.* üzerinden resource başı konfigüre edilebilir. Default'lar tier'a göre değişir; Enterprise plan limitlerinde override edebilir.
• DPA: imzalı Data Processing Agreement GET /v1/privacy/dpa üzerinden, kabul kayda alınır.

Audit log

• Immutable: audit_log'a her yazma hash-zincirli — satır önceki satırın hash'inin + kendi payload'ının hash'ini içerir, tamper edilebilir tespit edilir.
• Kapsamlı: persona mutasyonları, chat oturumları, üye değişiklikleri, config edit'leri, API key rotasyonları, webhook delivery'leri, billing event'leri.
• Retention: 1 yıl (Pro/Team), 7 yıl (Enterprise). Plan limitlerinde workspace başı override.
• Export'lanabilir: POST /v1/audit/export (Team+) kendi arşivleme sisteminde tutulmak üzere imzalı arşiv üretir.

Data residency (Enterprise)

• US + EU bölgeleri. Org kaydında seçilir, sonrasında kilitli (ADR 0011).
• Cross-region read database sınırında blok'lu — bir policy check değil, fiziksel izolasyon.
• Migrasyon export + new-org-in-new-region + import gerektirir (in-flight migration yok).

Compliance durumu

• GDPR: tam yaşam döngüsü desteği — consent, access, portability, erasure. Default tier.
• SOC 2 Type II: in progress (hazır olduğunda yayınlıyoruz).
• HIPAA: Enterprise BAA ile, istek üzerine.
• Sektöre özel (billing-context müşterileri için PCI DSS): Stripe'ın PCI scope'undan geçeriz; kart verisi saklamayız.

Audit zinciri nasıl çalışır

event_n.hash = sha256(event_n.payload || event_{n-1}.hash)

Bir zincirdeki ilk event org-bağlı bir secret'tan tohumlar. Herhangi bir tamper denemesi zinciri modifikasyon noktasında kırar — yeniden hash'leyerek doğrulanabilir.

Log'u + bir verification script'i POST /v1/audit/export üzerinden export et; arşivleme sistemin verification'ı sonra yeniden çalıştırarak log'un dokunulmadığını kanıtlayabilir.

Bu use case'in OLMADIĞI

• Bir SIEM değil. Audit log bir kayıt, real-time monitoring yüzeyi değil. SOC-stili monitoring için Datadog, Splunk vb. ile eşle.
• Bir compliance certifier değil. Moonborn kontrolleri sağlar; auditor'un kullanımını sertifika eder.
• Kendi DPIA'nın yerine geçmez. Data Protection Impact Assessment'lar hâlâ senin sorumluluğunda.

Tarif

• GDPR + DSAR + retention: her tier.
• Audit log: her tier (retention değişir).
• Audit export: Team ve üstü.
• Data residency lock + cross-region prevention + 7 yıl retention: Enterprise.

Sonraki

• Kimlik stack'i: Enterprise RBAC + SSO use case.
• Audit export iş akışı: Audit log export guide.
• Residency konfigürasyonu: Data residency config guide.
• API yüzeyi: Privacy + Audit API references.