Alinierea cadrului de conformitate
Implementările ActiveMotion sunt proiectate pentru a se alinia cu SOC 2 Type II, HIPAA, GDPR, CCPA și cadre specifice industriei, cum ar fi PCI-DSS și FedRAMP. Alinierea conformității este integrată în platformă la nivel de arhitectură, nu fixată ca strat de politică. Controalele clasificării datelor asigură că datele sensibile sunt identificate, etichetate și gestionate conform clasificării lor pe tot parcursul procesului de procesare a agentului. Politicile de păstrare guvernează cât de mult sunt stocate datele de interacțiune cu agentul și înregistrările de audit, cu perioade de păstrare configurabile care satisfac atât minimele de reglementare, cât și politicile organizaționale.
Criptarea datelor și securitatea tranzitului
Toate datele în repaus sunt criptate folosind AES-256 cu chei de criptare gestionate de client, acolo unde este necesar. Toate datele în tranzit sunt protejate de TLS 1.3. Depozitele de memorie ale agentului, jurnalele de audit și datele de configurare sunt criptate independent, astfel încât compromisul unei limite de criptare să nu expună datele din alte depozite. Pentru implementările on-premise și cu aer întrerupt, infrastructura de criptare este complet autonomă, fără a depinde de serviciile externe de gestionare a cheilor. Rotația cheilor este automatizată și poate fi declanșată la cerere ca răspuns la evenimentele de securitate.
Înregistrare de audit și dovezi
Fiecare acțiune de agent generează o înregistrare de audit structurată care include identitatea actorului, acțiunea efectuată, resursele țintă, marcajul de timp, lanțul de raționament care a condus la acțiune și rezultatul. Înregistrările de audit sunt scrise doar în stocarea anexată și sunt evidente prin înlănțuire criptografică. Schema jurnalului de audit se integrează cu platformele standard SIEM, inclusiv Splunk, Elastic și Microsoft Sentinel. Pentru raportarea conformității, sunt disponibile șabloane de raport predefinite care agregă datele de audit în formatele de dovezi cerute de auditorii SOC 2, HIPAA și GDPR.
Controlul accesului și segregarea
Controlul accesului bazat pe roluri guvernează toate interacțiunile cu platforma agentului. Configurațiile agenților, integrările de instrumente, politicile de guvernare și jurnalele de audit au fiecare liste independente de control al accesului. Instanțele de agent funcționează cu identități definite care le limitează accesul doar la sistemele și datele necesare pentru fluxurile lor de lucru definite. Implementările cu mai mulți locatari impun izolarea strictă a datelor între locatari la nivelurile de stocare, rețea și calcul. Operațiunile privilegiate, cum ar fi modificarea politicilor de guvernare sau implementarea de noi versiuni de agent, necesită aprobarea mai multor părți prin fluxul de lucru de management al schimbărilor.