Uitlijning van het compliancekader
ActiveMotion-implementaties zijn zo ontworpen dat ze aansluiten bij SOC 2 Type II, HIPAA, GDPR, CCPA en branchespecifieke raamwerken zoals PCI-DSS en FedRAMP. Nalevingsafstemming is op architectuurniveau in het platform ingebouwd en niet als beleidslaag. Controles op gegevensclassificatie zorgen ervoor dat gevoelige gegevens worden geïdentificeerd, getagd en verwerkt volgens de classificatie ervan gedurende de gehele verwerkingspijplijn van de agent. Het bewaarbeleid bepaalt hoe lang de interactiegegevens en auditrecords van agenten worden opgeslagen, met configureerbare bewaarperioden die voldoen aan zowel de wettelijke minimumvereisten als het organisatiebeleid.
Gegevensversleuteling en transitbeveiliging
Alle gegevens in rust worden versleuteld met AES-256, waar nodig met door de klant beheerde versleutelingssleutels. Alle gegevens die onderweg zijn, worden beschermd door TLS 1.3. Geheugenopslagplaatsen, auditlogboeken en configuratiegegevens van agenten worden onafhankelijk versleuteld, zodat het compromitteren van één versleutelingsgrens geen gegevens uit andere archieven blootlegt. Voor on-premises en air-gapped implementaties is de encryptie-infrastructuur volledig op zichzelf staand, zonder afhankelijkheid van externe sleutelbeheerdiensten. Sleutelroulatie is geautomatiseerd en kan op verzoek worden geactiveerd als reactie op beveiligingsgebeurtenissen.
Auditregistratie en bewijsmateriaal
Elke actie van een agent genereert een gestructureerd auditrecord met de identiteit van de acteur, de uitgevoerde actie, de doelbronnen, de tijdstempel, de redeneringsketen die tot de actie heeft geleid en de uitkomst. Auditrecords worden naar alleen-toegevoegde opslag geschreven en zijn manipulatiebestendig door middel van cryptografische ketens. Het auditlogboekschema kan worden geïntegreerd met standaard SIEM-platforms, waaronder Splunk, Elastic en Microsoft Sentinel. Voor nalevingsrapportage zijn vooraf gebouwde rapportsjablonen beschikbaar die auditgegevens samenvoegen tot de bewijsformaten die vereist zijn voor SOC 2-, HIPAA- en AVG-auditors.
Toegangscontrole en scheiding
Op rollen gebaseerde toegangscontrole regelt alle interacties met het agentplatform. Agentconfiguraties, toolintegraties, governancebeleid en auditlogboeken hebben elk onafhankelijke toegangscontrolelijsten. Agentinstanties werken met specifieke identiteiten die hun toegang beperken tot alleen de systemen en gegevens die nodig zijn voor hun gedefinieerde workflows. Implementaties met meerdere tenants zorgen voor strikte gegevensisolatie tussen tenants op de opslag-, netwerk- en computerlagen. Voor bevoorrechte bewerkingen, zoals het wijzigen van governancebeleid of het implementeren van nieuwe agentversies, is goedkeuring door meerdere partijen vereist via de workflow voor wijzigingsbeheer.