Brankas yang tidak dapat diubah
Tidak ada yang pernah ditimpa.
Brankas lain mengedit langsung di tempat. Mengubah kata sandi berarti yang lama hilang — tidak ada catatan bahwa kata sandi itu pernah ada, tidak ada cara untuk membuktikan apa yang benar pada hari Selasa lalu. Clavitor tidak menimpa. Setiap perubahan menulis revisi baru. Riwayat tetap ada. Catatannya lengkap.
Hanya penambahan, di semua lapisan.
Kredensial di Clavitor bukanlah baris yang Anda edit. Ini adalah tumpukan revisi. Memperbarui kata sandi berarti brankas menyisipkan versi baru — tidak pernah menyentuh yang lama. Revisi terbaru adalah nilai saat ini; setiap revisi sebelumnya masih ada, utuh, dan berurutan.
01 — Tulis
Revisi baru, setiap kali
Setiap pembaruan adalah INSERT, bukan UPDATE. Entri mempertahankan satu identitas stabil; nomor versi bertambah. Membaca kredensial akan mengembalikan versi tertinggi — nilai yang sama seperti yang Anda harapkan — sementara setiap versi sebelumnya tetap persis seperti saat ditulis.
02 — Simpan
Riwayat selama masa aktif brankas
Revisi lama dipertahankan selama brankas ada. Riwayat rotasi, nilai sebelum insiden, bidang pada tanggal tertentu — tidak ada yang dibuang. Masa lalu bukanlah log yang Anda harapkan disimpan oleh seseorang. Itu adalah data itu sendiri.
03 — Hapus
Tombstone, bukan penghapusan data
Menghapus kredensial menambahkan satu revisi lagi yang menandainya sebagai terhapus. Entri tidak lagi di-resolve — namun catatan bahwa entri tersebut pernah ada, dan kapan dihapus, tetap ada. Penghapusan yang dapat Anda buktikan lebih berharga daripada penghapusan yang tidak meninggalkan jejak.
Mengapa ini penting
Pertanyaan yang tidak dapat dijawab oleh brankas yang dapat diubah.
Ketika setiap pengeditan menghancurkan apa yang ada sebelumnya, seluruh kelas pertanyaan menjadi tidak dapat dijawab. Imutabilitas menjawabnya melalui desain.
"Apa kunci pada hari insiden?"
Rahasia yang dirotasi biasanya menghilang saat diganti. Di sini, nilai yang aktif selama jendela waktu masih ada di brankas, pada versinya, dengan stempel waktu yang membuktikannya. Forensik tidak lagi menjadi arkeologi.
"Siapa yang mengubah ini, dan apa isinya sebelumnya?"
Setiap pembaruan, penghapusan, perubahan cakupan, dan perubahan agen menulis peristiwa audit yang tertaut ke revisi baru. Riwayat dan catatan siapa yang membuatnya adalah cerita yang sama, diceritakan dalam dua cara — dan tidak ada yang dapat diubah secara diam-diam. Lihat jejak audit yang tahan manipulasi →
"Bisakah kami membatalkannya?"
Rotasi yang buruk, pengeditan salah ketik, agen yang disusupi yang menimpa bidang — ketika tidak ada yang dihapus, memulihkan nilai sebelumnya berarti membaca versi sebelumnya, bukan memulihkan cadangan dan berharap cadangan tersebut cukup baru.
"Apakah ada yang berubah saat kami tidak memantau?"
Itu tidak bisa berubah secara diam-diam. Tidak ada mutasi in-place yang terlewatkan. Status saat ini adalah revisi dengan nomor, penulis, dan stempel waktu — begitu pula setiap status sebelumnya.
Satu prinsip, seluruh brankas.
Imutabilitas bukanlah fitur yang sekadar ditambahkan ke kredensial. Itulah cara setiap catatan di Clavitor dibangun. Entri Anda, log audit, catatan kunci terbungkus, konten halaman ini — semuanya append-only, semuanya dengan cara yang sama. Tidak ada tempat dalam sistem di mana kebenaran ditimpa.
Direplikasi tanpa konflik
Karena revisi ditulis sekali dan tidak pernah diubah, menyalinnya ke sisi lain planet ini sangat mudah: kursor forward-only dengan pengakuan eksplisit saat baris diterima. Tidak ada pengeditan untuk direkonsiliasi, tidak ada konflik untuk diselesaikan, tidak ada "salinan mana yang benar." Data append-only memiliki tepat satu riwayat.
Ciphertext, disimpan — bukan plaintext, bocor
Riwayat yang disimpan dienkripsi saat at rest, persis seperti nilai aktif, dengan kunci yang tidak pernah mencapai server kami. Menyimpan masa lalu tidak menambah risiko paparan: disk yang dicuri berisi ciphertext lama dan ciphertext baru, keduanya sama-sama tidak dapat dibaca. Cara kerja enkripsi →
Satu-satunya pengecualian
Kami mendokumentasikan satu-satunya tempat kami melakukan penandaan secara in-place.
Kejujuran adalah bagian dari desain. Hanya ada satu bidang yang ditulis secara in-place alih-alih sebagai revisi baru: verified_at, penanda yang mencatat kapan kredensial terakhir berfungsi. Ini adalah metadata penggunaan, bukan perubahan konten — jadi ini memperbarui revisi terbaru secara langsung, dan setiap penandaan dicatat dalam log audit. Kami memberi tahu Anda tentang hal ini di sini karena pengecualian yang tidak terdokumentasi adalah hal yang membuat klaim imutabilitas menjadi kosong. Ini adalah satu-satunya.
Penghapusan, dilakukan dengan benar.
Append-only tidak berarti Anda tidak pernah bisa dilupakan. Itu berarti pelupaan disengaja, lengkap, dan tercatat. Tombstone per-revisi menangani kasus sehari-hari. Ketika penghapusan nyata diperlukan — permintaan GDPR, penutupan akun — penghapusan berlaku untuk seluruh brankas dan tidak dapat diubah, dijalankan sebagai operasi yang disengaja, bukan penimpaan per-bidang secara diam-diam. Anda tidak pernah diedit secara diam-diam; ketika Anda dihapus, Anda dihapus dengan sengaja dan sepenuhnya.
Brankas yang jujur menyimpan riwayatnya.
Imutabilitas adalah setengah cerita. Setengah lainnya adalah catatan siapa yang menyentuh apa — dirantai, disaksikan, dan dapat dibuktikan.