Conformité et sécurité
Journaux d'audit
Vilulia enregistre chaque action effectuée sur la plateforme : création et mise à jour de dossiers, accès aux documents, utilisation des outils AI, connexions des utilisateurs et modifications des paramètres, dans des enregistrements d'audit isolés par locataire. Les journaux d'audit servent à la surveillance de la sécurité, aux rapports de conformité et à l'analyse des incidents d'accès. Les durées de conservation dépendent du statut du module complémentaire HIPAA, et non du niveau de forfait.
Ce que vous allez apprendre
- Quels types d'actions sont capturés dans les journaux d'audit
- Combien de temps les journaux sont conservés selon le statut du module HIPAA
- Comment les journaux d'audit sont isolés par locataire pour la sécurité
- Comment accéder aux journaux depuis Paramètres → Journaux d'activité
- Comment les sessions d'usurpation d'identité administrateur sont tracées dans la piste d'audit
Ce qui est journalisé
Vilulia tient à jour plusieurs catégories de journaux d'audit. Le journal d'audit principal capture toutes les actions de la plateforme, notamment les connexions des utilisateurs, l'accès aux dossiers et aux documents, les invocations des outils AI, les modifications des paramètres et les actions de gestion des utilisateurs. Des journaux spécialisés existent pour les événements liés aux accords de médiation, les modifications de tarification, les événements liés aux sentences arbitrales et les accès aux PHI. Chaque entrée de journal enregistre le locataire, le type d'action, la ressource concernée et l'horodatage.
Suivi de l'usurpation d'identité administrateur
Lorsqu'un administrateur du support Vilulia crée une session d'usurpation d'identité pour assister un locataire, le début et la fin de la session sont écrits dans le journal d'audit avec les types d'action admin.impersonation_started et admin.impersonation_ended. L'entrée de journal enregistre l'identité de l'administrateur, le locataire et l'utilisateur cible, la raison déclarée, toute référence à un ticket de support associé et la limite de durée de session configurée. Toutes les actions effectuées pendant une session d'usurpation d'identité sont attribuées à l'identité de l'administrateur dans la piste d'audit, et non à celle de l'utilisateur locataire. Les locataires avec HIPAA activé doivent explicitement autoriser l'usurpation d'identité administrateur via un indicateur de fonctionnalité ; la plateforme la bloque par défaut pour ces locataires.
Conservation selon le module HIPAA
| Configuration | Conservation des journaux d'audit |
|---|---|
| Sans module HIPAA (tous les niveaux de forfait) | 3 ans |
| Module HIPAA Basic | 6 ans |
| Module HIPAA Enhanced | 7 ans |
Les locataires Enterprise peuvent configurer des durées de conservation personnalisées supérieures au minimum du niveau via les paramètres du locataire. Les entrées de journal à risque élevé (signalées par le service d'audit) sont conservées 3 années supplémentaires au-delà de la base du niveau.
Isolation des locataires
Tous les enregistrements de journaux d'audit sont indexés par tenant_id, de sorte que l'historique d'audit de chaque organisation est complètement isolé de celui des autres organisations sur la plateforme. Le personnel Vilulia disposant d'un accès au support peut consulter les journaux d'un locataire uniquement lors de l'analyse d'un problème signalé, et ces accès sont eux-mêmes journalisés.
Accès aux journaux d'audit
Les administrateurs de locataires peuvent accéder aux journaux d'audit depuis Paramètres → Journaux d'activité, sous l'onglet Journaux d'audit. Les journaux peuvent être filtrés par plage de dates, action et type de ressource. La piste d'audit HIPAA enrichie est accessible depuis le tableau de bord Conformité HIPAA, qui apparaît dans la section Fonctionnalités Premium de la barre latérale lorsque le module HIPAA est actif. La lecture des journaux d'audit HIPAA est elle-même journalisée conformément au §164.312(b).
Articles associés
Vous ne trouvez pas ce que vous cherchez ? Contacter le support