Cumplimiento y seguridad
Registros de auditoría
Vilulia registra cada acción realizada en la plataforma: creación y actualizaciones de casos, acceso a documentos, uso de herramientas de AI, inicios de sesión de usuarios y cambios de configuración, en registros de auditoría aislados por inquilino. Los registros de auditoría se utilizan para la supervisión de seguridad, los informes de cumplimiento y la investigación de incidentes de acceso. Los períodos de retención se basan en el estado del complemento HIPAA, no en el nivel del plan.
Lo que aprenderás
- Qué tipos de acciones se capturan en los registros de auditoría
- Cuánto tiempo se retienen los registros según el estado del complemento HIPAA
- Cómo los registros de auditoría están aislados por inquilino para mayor seguridad
- Cómo acceder a los registros desde Configuración → Registros de actividad
- Cómo se rastrean las sesiones de suplantación de administrador en el historial de auditoría
Qué se registra
Vilulia mantiene varias categorías de registros de auditoría. El registro de auditoría principal captura todas las acciones de la plataforma, incluyendo inicios de sesión, acceso a casos y documentos, invocaciones de herramientas de AI, cambios de configuración y acciones de gestión de usuarios. Existen registros especializados para eventos de acuerdos de mediación, cambios de precios, eventos de laudos arbitrales y acceso a PHI. Cada entrada de registro registra el inquilino, el tipo de acción, el recurso afectado y la marca de tiempo.
Seguimiento de la suplantación de administrador
Cuando un administrador de soporte de Vilulia crea una sesión de suplantación para asistir a un inquilino, tanto el inicio como el fin de la sesión se escriben en el registro de auditoría con los tipos de acción admin.impersonation_started y admin.impersonation_ended. La entrada del registro registra la identidad del administrador, el inquilino y el usuario de destino, el motivo declarado, cualquier referencia a un ticket de soporte vinculado y el límite de duración de sesión configurado. Todas las acciones realizadas durante una sesión de suplantación se atribuyen a la identidad del administrador en el historial de auditoría, no a la del usuario inquilino. Los inquilinos con HIPAA habilitado deben permitir explícitamente la suplantación de administrador mediante un indicador de función; la plataforma la bloquea de forma predeterminada para dichos inquilinos.
Retención según complemento HIPAA
| Configuración | Retención de registros de auditoría |
|---|---|
| Sin complemento HIPAA (todos los niveles de plan) | 3 años |
| Complemento HIPAA Basic | 6 años |
| Complemento HIPAA Enhanced | 7 años |
Los inquilinos Enterprise pueden configurar períodos de retención personalizados por encima del mínimo del nivel a través de la configuración del inquilino. Las entradas de registro de alto riesgo (marcadas por el servicio de auditoría) se retienen durante 3 años adicionales más allá del período base del nivel.
Aislamiento de inquilinos
Todos los registros de auditoría están indexados por tenant_id, por lo que el historial de auditoría de cada organización está completamente aislado del de otras organizaciones en la plataforma. El personal de Vilulia con acceso de soporte puede ver los registros dentro de un inquilino únicamente cuando investiga un problema notificado, y dichos accesos también quedan registrados.
Acceso a los registros de auditoría
Los administradores de inquilinos pueden acceder a los registros de auditoría desde Configuración → Registros de actividad, en la pestaña Registros de auditoría. Los registros se pueden filtrar por rango de fechas, acción y tipo de recurso. El historial de auditoría HIPAA más completo es accesible desde el panel Cumplimiento HIPAA, que aparece en la sección Funciones Premium de la barra lateral cuando el complemento HIPAA está activo. La lectura de los registros de auditoría HIPAA queda registrada a su vez por la auditoría según §164.312(b).
Artículos relacionados
¿No encuentras lo que buscas? Contactar con soporte