Alignement du cadre de conformité
Les déploiements ActiveMotion sont conçus pour s'aligner sur SOC 2 Type II, HIPAA, GDPR, CCPA et les cadres spécifiques à l'industrie tels que PCI-DSS et FedRAMP. L’alignement de la conformité est intégré à la plateforme au niveau de l’architecture, et non intégré en tant que couche politique. Les contrôles de classification des données garantissent que les données sensibles sont identifiées, étiquetées et traitées conformément à leur classification tout au long du pipeline de traitement de l'agent. Les politiques de conservation régissent la durée de stockage des données d'interaction des agents et des enregistrements d'audit, avec des périodes de conservation configurables qui satisfont à la fois aux minimums réglementaires et aux politiques organisationnelles.
Cryptage des données et sécurité du transit
Toutes les données au repos sont chiffrées à l'aide d'AES-256 avec des clés de chiffrement gérées par le client si nécessaire. Toutes les données en transit sont protégées par TLS 1.3. Les magasins de mémoire de l'agent, les journaux d'audit et les données de configuration sont chiffrés indépendamment afin que la compromission d'une limite de chiffrement n'expose pas les données d'autres magasins. Pour les déploiements sur site et en air-gappé, l'infrastructure de chiffrement est entièrement autonome et ne dépend pas de services de gestion de clés externes. La rotation des clés est automatisée et peut être déclenchée à la demande en réponse à des événements de sécurité.
Journalisation et preuves d’audit
Chaque action d'un agent génère un enregistrement d'audit structuré qui inclut l'identité de l'acteur, l'action effectuée, les ressources cibles, l'horodatage, la chaîne de raisonnement qui a conduit à l'action et le résultat. Les enregistrements d'audit sont écrits dans un stockage en ajout uniquement et sont inviolables grâce au chaînage cryptographique. Le schéma du journal d'audit s'intègre aux plates-formes SIEM standard, notamment Splunk, Elastic et Microsoft Sentinel. Pour les rapports de conformité, des modèles de rapports prédéfinis sont disponibles qui regroupent les données d'audit dans les formats de preuves requis par les auditeurs SOC 2, HIPAA et GDPR.
Contrôle d'accès et ségrégation
Le contrôle d'accès basé sur les rôles régit toutes les interactions avec la plateforme d'agent. Les configurations d'agent, les intégrations d'outils, les politiques de gouvernance et les journaux d'audit disposent chacun de listes de contrôle d'accès indépendantes. Les instances d'agent fonctionnent avec des identités étendues qui limitent leur accès aux seuls systèmes et données requis pour leurs flux de travail définis. Les déploiements multi-locataires appliquent une isolation stricte des données entre les locataires au niveau des couches de stockage, de réseau et de calcul. Les opérations privilégiées telles que la modification des politiques de gouvernance ou le déploiement de nouvelles versions d'agent nécessitent l'approbation de plusieurs parties via le workflow de gestion des changements.