Alineación del marco de cumplimiento
Las implementaciones de ActiveMotion están diseñadas para alinearse con SOC 2 Tipo II, HIPAA, GDPR, CCPA y marcos específicos de la industria como PCI-DSS y FedRAMP. La alineación del cumplimiento está integrada en la plataforma a nivel de arquitectura, no incorporada como una capa de políticas. Los controles de clasificación de datos garantizan que los datos confidenciales se identifiquen, etiqueten y manejen de acuerdo con su clasificación a lo largo del proceso de procesamiento del agente. Las políticas de retención rigen durante cuánto tiempo se almacenan los datos de interacción de los agentes y los registros de auditoría, con períodos de retención configurables que satisfacen tanto los mínimos regulatorios como las políticas organizacionales.
Cifrado de datos y seguridad de tránsito
Todos los datos en reposo se cifran mediante AES-256 con claves de cifrado administradas por el cliente cuando sea necesario. Todos los datos en tránsito están protegidos por TLS 1.3. Los almacenes de memoria del agente, los registros de auditoría y los datos de configuración se cifran de forma independiente para que el compromiso de un límite de cifrado no exponga los datos de otros almacenes. Para implementaciones locales y aisladas, la infraestructura de cifrado es completamente autónoma y no depende de servicios externos de administración de claves. La rotación de claves está automatizada y puede activarse según demanda en respuesta a eventos de seguridad.
Registro de auditoría y evidencia
Cada acción del agente genera un registro de auditoría estructurado que incluye la identidad del actor, la acción realizada, los recursos objetivo, la marca de tiempo, la cadena de razonamiento que condujo a la acción y el resultado. Los registros de auditoría se escriben en un almacenamiento de solo anexos y son a prueba de manipulaciones mediante encadenamiento criptográfico. El esquema de registro de auditoría se integra con plataformas SIEM estándar, incluidas Splunk, Elastic y Microsoft Sentinel. Para los informes de cumplimiento, hay disponibles plantillas de informes prediseñadas que agregan datos de auditoría en los formatos de evidencia requeridos por los auditores de SOC 2, HIPAA y GDPR.
Control de Acceso y Segregación
El control de acceso basado en roles gobierna todas las interacciones con la plataforma del agente. Las configuraciones de agentes, las integraciones de herramientas, las políticas de gobierno y los registros de auditoría tienen listas de control de acceso independientes. Las instancias de agentes operan con identidades de alcance que limitan su acceso solo a los sistemas y datos necesarios para sus flujos de trabajo definidos. Las implementaciones multiinquilino imponen un estricto aislamiento de datos entre los inquilinos en las capas de almacenamiento, red y computación. Las operaciones privilegiadas, como la modificación de políticas de gobierno o la implementación de nuevas versiones de agentes, requieren la aprobación de varias partes a través del flujo de trabajo de gestión de cambios.