Warum wir Ihre Datensätze nicht in einer öffentlichen Blockchain speichern (und was wir stattdessen tun)

Was Menschen denken, was passiert

Das mentale Modell, mit dem die meisten Prüfer ankommen, ist etwa so: "Der Anbieter nimmt eine Kopie jedes Datensatzes, schreibt sie in eine öffentliche Blockchain, und jetzt kann jeder mit einem Block-Explorer sie lesen." Das ist das Modell, das aus Kryptowährungen kommt, wo Transaktionsdetails — Sender, Empfänger, Betrag — wirklich öffentlich sind.

Es ist auch das Modell hinter jedem "wir setzen kein PHI in eine Blockchain"-Einwand in Healthcare-Pipelines und jedem GDPR-Residenz-Einwand in EU-Pipelines. Beide Einwände sind unter diesem mentalen Modell korrekt. Die Lösung besteht nicht darin, mit dem Einwand zu argumentieren. Die Lösung besteht darin, das mentale Modell durch das zu ersetzen, was tatsächlich passiert.

Was tatsächlich On-Chain geht

Für jeden Batch akkumulierter Datensätze wird genau eine Sache auf Polygon geschrieben: ein 32-Byte-Merkle-Root. Das ist ein kryptographischer Digest fester Länge, berechnet über die Hashes der Datensätze im Batch. Es sind nicht die Datensätze, nicht ihre Identifikatoren, nicht ihre Metadaten, kein Pointer, der zurück zu den Datensätzen umgekehrt werden kann. Es ist mathematisch einseitig.

• Datensätze in voller Form verlassen Ihre Umgebung niemals. Self-hosted-Bereitstellungen verankern aus dem Inneren Ihrer VPC; verwaltete Bereitstellungen verankern aus einem Single-Tenant-Namespace, der Ihnen gewidmet ist. Die Datensätze selbst bleiben in der Datenbank, die Sie bereits kontrollieren.
• Der On-Chain-Anker enthält keinen Datensatz-Inhalt, keine Datensatz-Identifikatoren, keine Tenant-Identifikatoren, keine Feldnamen, keine Schemas. Nur den Merkle-Root und die Batch-Metadaten, die zur Verifizierung erforderlich sind (Zeitstempel, Batch-Größe, Vertragsadresse).
• Der Verifizierungspfad läuft rückwärts. Um zu beweisen, dass ein Datensatz verankert wurde, liefern Sie den Datensatz, die Plattform berechnet seinen Hash und den Merkle-Pfad neu, und der On-Chain-Root bestätigt die Einbeziehung. Der Beweis funktioniert in eine Richtung; Sie können nicht von der Chain ausgehen und die Datensätze rekonstruieren.

Warum das für GDPR und HIPAA wichtig ist

Beide Regulierungen kümmern sich um eine spezifische Frage: Sind die Daten, die Sie verarbeiten, identifizierbar? Ein 32-Byte-Hash eines Batches von Datensätzen ist nicht identifizierbar. Sie können die Datensätze nicht daraus ableiten. Sie können nicht einmal den Identifikator eines einzelnen Datensatzes daraus ableiten. Unter der Leitlinie des European Data Protection Board zum Hashing ist ein Hash, der keine Re-Identifikation ermöglicht, im Allgemeinen keine personenbezogenen Daten — und selbst konservativ behandelt, enthält das On-Chain-Artefakt in Certyos Design keinen Hash pro Datensatz, sondern nur den Root pro Batch.

Die De-Identifikationsstandards von HIPAA sind strenger, gelten aber für Datensätze, die mit einer Person verknüpft werden könnten. Der On-Chain-Merkle-Root kann nicht ohne Zugriff auf den vollständigen Datensatz mit einem Datensatz verknüpft werden, der in Ihrer Umgebung unter Ihren Zugriffskontrollen lebt. Wenn der Regulator die Chain sehen kann und Sie den Datensatz löschen, ist der Datensatz weg. Der Anker beweist, dass ein Datensatz zu einem bestimmten Zeitpunkt existiert hat; er bewahrt den Datensatz nicht auf.

Wie das Recht auf Löschung in der Praxis aussieht

GDPR-Artikel 17 gewährt Personen das Recht auf Löschung ihrer personenbezogenen Daten. Die Befürchtung bei Architekturen mit öffentlichen Chains ist, dass ein unveränderliches Hauptbuch im Konflikt mit diesem Recht steht. In Certyos Architektur existiert der Konflikt nicht, weil keine personenbezogenen Daten verankert sind. Der Ablauf sieht so aus:

Nach der Löschung beweist der On-Chain-Root immer noch, dass ein Batch zum verankerten Zeitstempel existiert hat, kann aber nicht verwendet werden, um den gelöschten Datensatz zu rekonstruieren, zu identifizieren oder wiederherzustellen. Der Anker bleibt als historische Tatsache über die Existenz eines Batches; der Datensatz selbst ist weg. Das ist der architektonische Grund, warum das Design mit Recht-auf-Löschung-Regimen kompatibel ist, in denen andere Blockchain-basierte Produkte versagen.

Wie das drei spezifische Käufergespräche verändert

Wenn die Architektur einseitig und pro Batch ist, werden drei Kategorien von Einwänden, die historisch Geschäfte blockierten, lösbar:

• Healthcare und PHI — PHI berührt die Chain niemals. Das On-Chain-Artefakt ist ein 32-Byte-Hash eines Batches von Hashes — kein Feld, kein Datensatz, keine Patientenkennung ist wiederherstellbar. HIPAA-konforme Umgebungen können verankern, ohne ihre Datenverarbeitungshaltung zu ändern.
• EU- und GDPR-regulierte Workloads — Datensätze bleiben in der von Ihnen konfigurierten Residenz. Der On-Chain-Anker ist global, enthält aber keine personenbezogenen Daten. Die Löschung entfernt Datensätze aus Ihrer Umgebung, ohne eine ableitbare Spur on-chain zu hinterlassen.
• Verteidigung, öffentlicher Sektor und Air-Gapped-Operationen — Self-hosted-Bereitstellungen verankern aus dem Inneren Ihrer Vertrauensgrenze. Das Einzige, was die Grenze überquert, ist der Merkle-Root — ein Wert, der ohne die Datensätze keine operative Bedeutung hat.

Die architektonische Wahl, die das widerspiegelt

Der Grund, warum konkurrierende Systeme mehr on-chain stellen, ist normalerweise, dass sie die Chain als Datenbank verwenden. Certyo nicht. Die Chain ist der Anker; Ihre bestehende Datenbank ist das System of Record. Diese Trennung ist kein Workaround — sie ist das, was das Design überhaupt mit dem Datenschutzrecht kompatibel macht. Für Bereitstellungstopologien und Tenant-Isolationsgarantien siehe /de/about. Für die Verifizierungs-API siehe das Entwicklerportal.

Die Chain beweist, dass ein Datensatz zu einem bestimmten Zeitpunkt existiert hat. Der Datensatz selbst bleibt in Ihrer Umgebung, unter Ihren Zugriffskontrollen, gemäß Ihrer Löschrichtlinie. Diese Trennung ist der ganze Sinn des Designs.