MOAT · Audit trail

Audit trail by default

Hver sjekk, hver beslutning, hver datatilgang logges med aktør, tidsstempel og begrunnelse — på tvers av alle brukere, alle agenter og alle MCP-kall. Dette er ikke et Enterprise-tillegg. Det er arkitektur-default.

6 prinsipper

Append-only

Events skrives til tenants/{t}/audit/-samlingen med Firestore security rules som hindrer sletting og oppdatering — også for tenant-admins.

Hash-kjede

Hvert event inkluderer prev_hash og hash (SHA-256 av canonical JSON). Enhver endring i et tidligere event bryter kjeden og oppdages umiddelbart.

Eksport med integrity-sjekk

Regulator kan få signert JSON-eksport med full chain-validering. Strukturen er enkel nok til at eksterne verktøy kan verifisere uten KETL-kunnskap.

Retention: minst 5 år

AMLA-kravet for finansielle aktører. Per-tenant DPA kan forlenge lagringen; forkorting er ikke mulig via produktet.

BigQuery-streaming

Parallell streaming til BigQuery for aggregert analyse. Firestore-kjeden forblir kilde til sannheten — BigQuery er en read-only projection.

Default, ikke tillegg

Audit-logg er aktivert på alle tiers fra Starter og opp — det er ikke et Enterprise-tillegg. Regulator-ready fra dag én.

Hva logges?

KETL logger alle handlinger som har forretnings- eller compliance-konsekvenser:

MCP-tool-kall (action + args + resultat-referanse)
AI-outputs (modellversjon + prompt-hash + konfidens)
Record-endringer (before/after-snapshot)
Saker: åpnet, endret, lukket (med utfall)
Bruker-handlinger: innlogging, invitasjoner, rolleendringer
Dataeksporter (format, størrelse, destinasjon)
Integrasjoner: tilkoblet/frakoblet
Innstillingsendringer
Audit-eksporter (ja — eksport av loggen logges)

Event-skjema

{
  "eventId": "7f3b9...",  // SHA-256 av event
  "tenantId": "tenant-42",
  "ts": "2026-04-20T08:16:45+02:00",
  "actor": {
    "id": "user-anna",
    "type": "user",
    "name": "Anna Hansen"
  },
  "action": "ai.output",
  "target": {
    "type": "analyse",
    "id": "analysis-42",
    "displayName": "Risikovurdering Nordlysmedia AS"
  },
  "before": null,
  "after": { "klassifisering": "middels", "score": 0.42 },
  "sourceRefs": [
    {
      "type": "brreg",
      "id": "913289933",
      "url": "https://data.brreg.no/..."
    }
  ],
  "prevHash": "a82c4...",
  "hash": "7f3b9...",
  "metadata": { "modelVersion": "claude-sonnet-4-6", "confidence": 0.91 }
}

Et regulator-scenario

Finanstilsynet ber et medlem om full sporbarhet for en PEP-beslutning tatt 14 dager tidligere. I KETL:

1. Klienten åpner /dashboard/audit, filtrerer på beslutnings-saken, eksporterer perioden som signert JSON.
2. Eksporten inneholder hele hash-kjeden fra beslutningen, inkludert Brreg-kilden, AI-outputen, menneskelig review og sak-lukkingen — hver sitt event, alle lenket med prev_hash.
3. Finanstilsynet kjører verifyChain() (egen kopi, eller via oss) og ser at integrity.valid === true.
4. Reprodusérbar kilde-til- konklusjon trace. Tid fra forespørsel til svar: typisk under 1 time.