Ausrichtung des Compliance-Frameworks
ActiveMotion-Bereitstellungen sind so konzipiert, dass sie mit SOC 2 Typ II, HIPAA, DSGVO, CCPA und branchenspezifischen Frameworks wie PCI-DSS und FedRAMP übereinstimmen. Die Compliance-Ausrichtung ist auf Architekturebene in die Plattform integriert und nicht als Richtlinienebene verankert. Datenklassifizierungskontrollen stellen sicher, dass vertrauliche Daten in der gesamten Verarbeitungspipeline des Agenten identifiziert, markiert und entsprechend ihrer Klassifizierung behandelt werden. Aufbewahrungsrichtlinien regeln, wie lange Agenteninteraktionsdaten und Prüfaufzeichnungen gespeichert werden, mit konfigurierbaren Aufbewahrungsfristen, die sowohl gesetzliche Mindestanforderungen als auch Organisationsrichtlinien erfüllen.
Datenverschlüsselung und Transportsicherheit
Alle ruhenden Daten werden bei Bedarf mit AES-256 und vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsselt. Alle übertragenen Daten sind durch TLS 1.3 geschützt. Agentenspeicher, Überwachungsprotokolle und Konfigurationsdaten werden unabhängig voneinander verschlüsselt, sodass bei einer Beeinträchtigung einer Verschlüsselungsgrenze keine Daten aus anderen Speichern offengelegt werden. Bei On-Premise- und Air-Gap-Bereitstellungen ist die Verschlüsselungsinfrastruktur vollständig eigenständig und nicht von externen Schlüsselverwaltungsdiensten abhängig. Die Schlüsselrotation erfolgt automatisiert und kann bei Bedarf als Reaktion auf Sicherheitsereignisse ausgelöst werden.
Audit-Protokollierung und -Beweis
Jede Agentenaktion generiert einen strukturierten Prüfdatensatz, der die Identität des Akteurs, die durchgeführte Aktion, die Zielressourcen, den Zeitstempel, die Argumentationskette, die zur Aktion geführt hat, und das Ergebnis enthält. Prüfdatensätze werden in einen Nur-Anhang-Speicher geschrieben und sind durch kryptografische Verkettung manipulationssicher. Das Audit-Log-Schema lässt sich in standardmäßige SIEM-Plattformen integrieren, darunter Splunk, Elastic und Microsoft Sentinel. Für die Compliance-Berichterstattung stehen vorgefertigte Berichtsvorlagen zur Verfügung, die Prüfdaten in den von SOC 2-, HIPAA- und DSGVO-Prüfern geforderten Beweisformaten zusammenfassen.
Zugangskontrolle und Segregation
Die rollenbasierte Zugriffskontrolle regelt alle Interaktionen mit der Agentenplattform. Agent-Konfigurationen, Tool-Integrationen, Governance-Richtlinien und Audit-Protokolle verfügen jeweils über unabhängige Zugriffskontrolllisten. Agenteninstanzen arbeiten mit bereichsbezogenen Identitäten, die ihren Zugriff nur auf die Systeme und Daten beschränken, die für ihre definierten Arbeitsabläufe erforderlich sind. Multi-Tenant-Bereitstellungen erzwingen eine strikte Datenisolierung zwischen Mandanten auf der Speicher-, Netzwerk- und Rechenebene. Privilegierte Vorgänge wie das Ändern von Governance-Richtlinien oder das Bereitstellen neuer Agentenversionen erfordern die Genehmigung mehrerer Parteien durch den Änderungsmanagement-Workflow.