İçerik-körü yönetim nedir?
İçerik-körü yönetim, yönetim yetkisinin mesaj içeriğini kapsamamasıdır: yönetici çalışma alanını yönetir, yazışmayı okuyamaz. Interna bu sınırı sözleşme maddesine değil mimariye yazar; panel kodu, veritabanı yetkisi ve şifreleme aynı çizgiyi üç ayrı katmanda çizer.
Aynı sınır iki tarafa iki ayrı güvence verir. Çalışan tarafında bu güvence mahremiyettir: işvereniniz mesajlarınızı okuyamaz, çünkü panelin ulaşabildiği hiçbir yüzeyde mesaj içeriği yoktur. İşveren tarafında güvence, karar yükünün kalkmasıdır: teknik olarak erişemediğiniz içerik için gözetim kararı vermek zorunda kalmazsınız; panel üyelik, cihaz ve politika verisiyle çalışır.
Yukarıdaki üç kilit bu tanımın mühendislik karşılığıdır. Tanımı taşıyan şey kilit sayısı değil, kilitlerin birbirinden bağımsız çalışmasıdır.
Üç kilit birbirinden neden bağımsızdır?
Üç kilit bağımsızdır çünkü her biri ayrı bir katmanda yaşar: birincisi derlemede, ikincisi veritabanı yetkisinde, üçüncüsü şifrelemenin kendisinde çalışır. Birinin aşıldığı senaryoda kalan ikisi içeriği kapalı tutar.
Birinci kilit kod katmanındadır. Yönetim panelinin modülleri mesaj servisini içe aktaramaz; sınırı ekip alışkanlığı değil, derlemede çalışan bir lint kuralı tutar. Kuralı ihlal eden değişiklik derleme denetiminden geçmez.
İkinci kilit veritabanı yetkisindedir. Panel, PostgreSQL’e mesajlaşma servisinden ayrı bir rolle bağlanır; bu role mesaj, sohbet ve dosya tablolarında SELECT yetkisi tanımlanmamıştır. Yetkinin olmadığı yerde sorgu da yoktur: veritabanı, panelden gelen bir içerik sorgusunu sonuçla değil hatayla yanıtlar.
Üçüncü kilit şifrelemededir. Mesaj gövdesi sunucuda AES-256-GCM ile şifreli durur; anahtar, HKDF ile her çalışma alanı için ayrı türetilir. İlk iki katmanın delindiği varsayımda bile ele geçen şey düz metin değil, şifreli gövdedir.
İçerik böyle kapanır. Yönetimin görebildiği alan ise dardır ve tek tek sayılabilir.
Yönetici panelde neyi görür?
Yönetici panelde yedi veri alanıyla çalışır:
- Personel kayıtları: ad, unvan, departman, dahili ve konum; hesap açma ve devre dışı bırakma
- Davetler: üretme, iptal etme, yeniden gönderme
- Cihazlar ve oturumlar: cihaz görünümü, oturum düşürme, uzaktan silme
- Çalışma alanı politikaları: bildirimde içerik gizleme gibi alan geneli kurallar
- Grup üyelikleri: grubun adı, üyeleri ve üyelik hareketleri
- KVKK metinleri: sürümler ve kabul oranı
- Denetim defteri: panelde yapılan işlemlerin kaydı
Listede olmayan iki kalem sabittir: mesaj içeriği ve 1:1 sohbetlerin dökümü. İçerik üç kilidin arkasındadır; 1:1 sohbetler panelde hiç listelenmez.
Grup gözetimi neden üye listesiyle sınırlıdır?
Grup gözetimi üye listesiyle sınırlıdır çünkü panel yalnız üyelik verisi okur; iletiler ikinci kilidin arkasında kalır. Yönetici bir grubun kim tarafından kurulduğunu ve kimleri içerdiğini görür, konuşulanı görmez. 1:1 sohbetlerin panelde hiç görünmemesi aynı ilkenin devamıdır: kimin kiminle yazıştığının haritası, içeriğin kendisi kadar mahremdir ve yönetime açılmaz.
Denetim defteri neyi kaydeder?
Denetim defteri, panelde yapılan işlemleri kaydeder: kim davet üretti, hangi cihaz düşürüldü, hangi politika değişti. Defter iki ayrı düzlemde tutulur; platform tarafında yapılan her operasyon şirketin defterine de düşer. “Yönetim ne yaptı” sorusunun cevabı böylece yorum değil, kayıttır.
Neyi göremeyiz?
Platform işletmecisi olarak biz de mesaj içeriğinizi göremeyiz. Süper-admin düzlemi veritabanına ayrı bir rolle bağlanır; o rolün mesaj tablolarında okuma yetkisi yoktur. İçeriğe erişim isteği bir onay sürecine değil, tanımlı olmayan bir yetkiye çarpar.
Bu modelin adı uçtan uca şifreleme değildir; biz de öyle adlandırmayız. Uçtan uca şifrelemede anahtar yalnız cihazlarda durur. Interna’da içerik sunucuda şifreli saklanır ve mesajı alıcıya taşıyan servis, işi gereği içeriği işler; kilitlerin ayırdığı şey taşıma servisi değil, yönetim düzlemleridir. İki modelin farkını uçtan uca şifreleme rehberinde ayrıntısıyla anlatıyoruz.
Görünür kalanı da saklamayız: üyelikler, cihaz kayıtları, grup üyelikleri ve denetim kayıtları yönetime açıktır. İçerik-körlük bir perde değil, çizgisi belli bir erişim ayrımıdır.
On-prem kurulumda tablo bir adım daha sadeleşir: platform işletmecisi müşterinin kendi BT ekibidir, sunucu şirketin binasındadır ve şifreleme anahtarını siz üretirsiniz. Bu ayrım On-prem paketine özgüdür; Bulut paketinde işletmeci biziz ve yukarıdaki yetki sınırı bize de aynı biçimde uygulanır.
KVKK metinleri nasıl yönetilir?
KVKK metni Interna’da sürümle yönetilir. Çalışan, daveti kabul ederken metni görür ve onaylar; onay, hesabına ve metnin o günkü sürümüne bağlı olarak kaydedilir. Yayımlanan sürüm sonradan değiştirilemez: hangi onayın hangi metne verildiği sorusu kayıt düzeyinde kapalıdır.
Yönetici panelden sürümleri ve kabul oranını izler. Metin yönetimi, uyumun kayıt ayağıdır; aydınlatmadan veri yerleşimine uzanan bütünü KVKK uyumlu mesajlaşma sayfasında ele alıyoruz.