Alinhamento da Estrutura de Conformidade
As implantações do ActiveMotion são projetadas para se alinharem ao SOC 2 Tipo II, HIPAA, GDPR, CCPA e estruturas específicas do setor, como PCI-DSS e FedRAMP. O alinhamento da conformidade está integrado na plataforma no nível da arquitetura, e não como uma camada de política. Os controles de classificação de dados garantem que os dados confidenciais sejam identificados, marcados e tratados de acordo com sua classificação em todo o pipeline de processamento do agente. As políticas de retenção controlam por quanto tempo os dados de interação do agente e os registros de auditoria são armazenados, com períodos de retenção configuráveis que atendem aos mínimos regulatórios e às políticas organizacionais.
Criptografia de dados e segurança de trânsito
Todos os dados em repouso são criptografados usando AES-256 com chaves de criptografia gerenciadas pelo cliente, quando necessário. Todos os dados em trânsito são protegidos pelo TLS 1.3. Os armazenamentos de memória do agente, os logs de auditoria e os dados de configuração são criptografados de forma independente, para que o comprometimento de um limite de criptografia não exponha dados de outros armazenamentos. Para implantações locais e isoladas, a infraestrutura de criptografia é totalmente independente, sem dependência de serviços externos de gerenciamento de chaves. A rotação de chaves é automatizada e pode ser acionada sob demanda em resposta a eventos de segurança.
Registro e evidências de auditoria
Cada ação do agente gera um registro de auditoria estruturado que inclui a identidade do ator, a ação executada, os recursos alvo, o carimbo de data/hora, a cadeia de raciocínio que levou à ação e o resultado. Os registros de auditoria são gravados em armazenamento somente anexado e são invioláveis por meio de encadeamento criptográfico. O esquema de log de auditoria integra-se a plataformas SIEM padrão, incluindo Splunk, Elastic e Microsoft Sentinel. Para relatórios de conformidade, estão disponíveis modelos de relatórios pré-construídos que agregam dados de auditoria nos formatos de evidência exigidos pelos auditores SOC 2, HIPAA e GDPR.
Controle de acesso e segregação
O controle de acesso baseado em função rege todas as interações com a plataforma do agente. Configurações de agente, integrações de ferramentas, políticas de governança e logs de auditoria possuem listas de controle de acesso independentes. As instâncias de agente operam com identidades com escopo que limitam seu acesso apenas aos sistemas e dados necessários para seus fluxos de trabalho definidos. As implantações multilocatários impõem um isolamento rigoroso de dados entre locatários nas camadas de armazenamento, rede e computação. Operações privilegiadas, como modificação de políticas de governança ou implantação de novas versões de agentes, exigem aprovação de várias partes por meio do fluxo de trabalho de gerenciamento de mudanças.