У нас есть веб-служба на основе С#, которая получает документы от политических организаций, которые являются юридически обязательными документами.
В настоящее время мы предоставляем квитанцию файлу, в котором содержится контрольная сумма полученного файла, поэтому мы можем позже доказать, что файл, хранящийся в нашей системе, соответствует их исходному представлению. Квитанция отправляется как электронное письмо в файл.
Однако мы не можем доказать стороннему аудитору, что файл и контрольная сумма, хранящиеся в нашей системе, никогда не изменялись (т.е. вредоносный администратор баз данных мог изменять значение контрольной суммы, чтобы соответствовать содержимому какого-то фальшивого документа замещения).
В настоящее время я размышляю о том, что где-то в облаке размещается "файл журнала", доступный только для записи (предположительно, с провайдером, который сторонний аудитор найдет разумно заслуживающим доверия, например AWS), что мы можем записывать каждую заявку id и контрольной суммы, когда они происходят. В идеале этот файл удаленного журнала будет вести себя как журнал учета в старой школе - вы пишете только перо, поэтому вы никогда не сможете стереть предыдущую запись!
Другим вариантом может быть отправка этих почтовых квитанций стороннему поставщику архива электронной почты? (объем нашей истории сообщений настолько мал, это может не стоить разговора с поставщиком архива)
Есть ли у кого-нибудь предложение?