Wenn ich mich recht erinnere, ist die PM-Zugänglichkeitsfunktion nur für Administratoren verfügbar. Mods können keine Nachrichten anderer Benutzer öffnen. Die einfache Antwort lautet also, dass Sie nur denjenigen Administratorzugriff gewähren, die die Discourse-Instanz selbst speziell betreuen und verwalten. Aus technischer Sicht könnten diejenigen, die Ihre Instanz verwalten, über die Datenbank selbst auf die PMs zugreifen, ohne Protokolleinträge zu generieren. Als Administrator der Website und des Servers, auf dem sie sich befindet, besteht der einzige Weg, Administratoren letztendlich den Zugriff auf diese Ebene zu verwehren, darin, die Inhalte mit einem Schlüssel zu verschlüsseln, den sie nicht haben.
Für das von Ihnen gesuchte Sicherheitsniveau benötigen Sie im Grunde Folgendes:
Ich habe es (noch) nicht verwendet, aber ich glaube, es generiert und speichert die Schlüssel clientseitig auf eine Weise, dass sie über die Identitätsdiebstahlfunktion nicht zugänglich wären. Der Schlüssel wird immer noch lokal gespeichert und die Identitätsnahme sollte keinen Zugriff darauf ermöglichen (soweit ich weiß). Dies ist wirklich der einzige Weg, die Daten in der Datenbank selbst zu schützen.