Allineamento del quadro di conformità
Le implementazioni ActiveMotion sono progettate per allinearsi con SOC 2 Tipo II, HIPAA, GDPR, CCPA e framework specifici del settore come PCI-DSS e FedRAMP. L'allineamento della conformità è integrato nella piattaforma a livello di architettura, non a livello di policy. I controlli di classificazione dei dati garantiscono che i dati sensibili vengano identificati, contrassegnati e gestiti in base alla relativa classificazione in tutta la pipeline di elaborazione dell'agente. Le politiche di conservazione regolano la durata di archiviazione dei dati di interazione degli agenti e dei record di controllo, con periodi di conservazione configurabili che soddisfano sia i minimi normativi che le politiche organizzative.
Crittografia dei dati e sicurezza del transito
Tutti i dati inattivi vengono crittografati utilizzando AES-256 con chiavi di crittografia gestite dal cliente, ove richiesto. Tutti i dati in transito sono protetti da TLS 1.3. Gli archivi di memoria dell'agente, i registri di controllo e i dati di configurazione vengono crittografati in modo indipendente in modo che la compromissione di un limite di crittografia non esponga i dati di altri archivi. Per le distribuzioni locali e air-gapped, l'infrastruttura di crittografia è completamente autonoma senza dipendenza da servizi di gestione delle chiavi esterni. La rotazione delle chiavi è automatizzata e può essere attivata su richiesta in risposta a eventi di sicurezza.
Registrazione e prove di audit
Ogni azione dell'agente genera un record di audit strutturato che include l'identità dell'attore, l'azione eseguita, le risorse target, il timestamp, la catena di ragionamento che ha portato all'azione e il risultato. I record di controllo vengono scritti nello spazio di archiviazione di sola aggiunta e sono anti-manomissione grazie al concatenamento crittografico. Lo schema del registro di controllo si integra con le piattaforme SIEM standard tra cui Splunk, Elastic e Microsoft Sentinel. Per il reporting di conformità, sono disponibili modelli di report predefiniti che aggregano i dati di audit nei formati di prova richiesti dai revisori SOC 2, HIPAA e GDPR.
Controllo degli accessi e segregazione
Il controllo degli accessi basato sui ruoli governa tutte le interazioni con la piattaforma dell'agente. Le configurazioni degli agenti, le integrazioni degli strumenti, le policy di governance e i registri di controllo dispongono ciascuno di elenchi di controllo degli accessi indipendenti. Le istanze dell'agente funzionano con identità con ambito che limitano il loro accesso solo ai sistemi e ai dati richiesti per i flussi di lavoro definiti. Le distribuzioni multi-tenant applicano un rigido isolamento dei dati tra tenant a livello di archiviazione, rete e calcolo. Le operazioni privilegiate, come la modifica delle policy di governance o la distribuzione di nuove versioni dell'agente, richiedono l'approvazione di più parti attraverso il flusso di lavoro di gestione delle modifiche.