Registros de auditoría y cumplimiento¶
Cada verificación de la mesa de ayuda de Polyguard crea un registro a prueba de manipulaciones. Esta página explica dónde encontrar esos registros, qué contienen y cómo utilizarlos para el cumplimiento, la investigación de incidentes y los informes de auditoría.
Dónde encontrar registros de verificación¶
Polyguard proporciona registros de verificación a través de tres canales. Utilice el que mejor se adapte a su flujo de trabajo.
Consola Polyguard¶
La forma más rápida de revisar el historial de verificación es a través de la consola web.
- Inicie sesión en console.polyguard.ai.
- Navega hasta Actividad en la barra lateral izquierda.
- Utilice los filtros para restringir los resultados por rango de fechas, nombre del enlace, estado de verificación o nombre del empleado.
- Haga clic en cualquier registro para ver sus detalles completos.
API DESCANSO¶
Para el acceso programático, la API REST de Polyguard proporciona puntos finales para consultar y recuperar registros de verificación.
- Listar sesiones: recupere todas las sesiones de verificación de confianza para un enlace determinado, con filtrado por fecha, estado y metadatos.
- Obtener detalles de la sesión: recupere el registro completo de una sesión específica, incluidas todas las pruebas, la certificación del dispositivo y el registro de eventos.
- Descargar declaración jurada: recupere la declaración jurada de transacción firmada criptográficamente para completar la verificación.
Documentación API
La referencia completa de API está disponible en dev.polyguard.ai. La autenticación requiere una clave API, que puede generar en la consola en Configuración > Claves API.
Registros de eventos de webhook¶
Si configuró webhooks durante la instalación (consulte Configuración de Polyguard para la mesa de ayuda), cada evento de verificación se entrega a su punto final en tiempo real. Estas cargas útiles de webhook se pueden incorporar a su SIEM, sistema de emisión de tickets o lago de datos de seguridad para un registro centralizado.
Qué contiene cada registro¶
Cada registro de verificación de la mesa de ayuda incluye la siguiente información:
| Campo | Descripción |
|---|---|
| ID de sesión | Un identificador único para esta sesión de verificación. |
| Nombre del enlace | El enlace de la mesa de ayuda utilizado (por ejemplo, "Verificación de restablecimiento de contraseña") |
| Identidad del empleado | Nombre verificado de la credencial de identidad del empleado |
| Pruebas completadas | Qué pruebas de identidad se cumplieron (por ejemplo, biometría facial, identidad del dispositivo) |
| Certificación del dispositivo | Si el dispositivo del empleado pasó las comprobaciones de integridad del hardware |
| Ubicación geográfica | Estado y país al momento de la verificación (si se requirió Ubicación Geográfica) |
| Estado | Estado final: verificado, fallido o caducado |
| Marca de tiempo | Cuándo se inició la verificación y cuándo se completó |
| Referencia del agente | Cualquier metadato adjunto por el agente (por ejemplo, número de ticket, nombre del agente) |
| Registro de eventos | Una lista cronológica de cada paso del proceso de verificación. |
Declaración jurada de transacción¶
Para las verificaciones completadas, Polyguard genera una declaración jurada de transacción: un registro de la verificación firmado criptográficamente y no repudiable. Esta declaración jurada:
- Está firmado utilizando la infraestructura PKI de Polyguard.
- No se puede modificar después de la generación.
- Puede ser verificado de forma independiente por cualquier parte con acceso a las claves públicas de Polyguard.
- Sirve como evidencia lista para litigios de que se realizó la verificación de identidad.
Puede descargar declaraciones juradas desde la consola (haga clic en Descargar declaración jurada en cualquier registro completo) o recuperarlas a través de la API REST.
Correlación de registros con tickets de la mesa de ayuda¶
Para conectar un registro de verificación de Polyguard con el ticket de la mesa de ayuda que lo activó, utilice uno o ambos de los siguientes métodos:
Uso de metadatos del agente¶
Cuando un agente envía un enlace de verificación de confianza, puede incluir una nota de referencia (como el número de ticket). Estos metadatos se almacenan en el registro de verificación y se pueden buscar en la consola o consultar a través de la API.
Por ejemplo, si un agente incluye INC0012345 como referencia al enviar una verificación, luego puede buscar esa cadena en el registro de actividad para encontrar el registro correspondiente.
Uso de actualizaciones de tickets basadas en webhooks¶
Si la integración de su sistema de emisión de tickets o su webhook están configurados para recibir eventos de verificación, el ID y el estado de la sesión de Polyguard se pueden volver a escribir automáticamente en el ticket. Esto crea un vínculo bidireccional:
- Desde el ticket: vea el ID de la sesión de Polyguard y el resultado de la verificación
- Del registro de Polyguard: vea la referencia del ticket en los metadatos del agente
Referencias de tickets consistentes
Establezca una práctica estándar con su equipo de soporte técnico: incluya siempre el número del ticket al enviar una verificación de confianza de Polyguard. Esto hace que sea sencillo correlacionar registros durante auditorías o investigaciones.
Consideraciones regulatorias y de cumplimiento¶
Los registros de verificación de la mesa de ayuda de Polyguard están diseñados para respaldar una variedad de requisitos normativos y de cumplimiento.
Lo que demuestran los registros de Polyguard¶
- Quién solicitó un cambio de credencial (identidad verificada, no solo un nombre reclamado)
- Cuándo se produjo la verificación (marcas de tiempo precisas)
- Cómo se verificó la identidad (qué pruebas se completaron, estado de la certificación del dispositivo)
- Cuál fue el resultado (verificado, fallido o caducado)
- Dónde se encontraba el empleado en el momento de la verificación (nivel de región administrativa)
Marcos relevantes¶
La verificación del servicio de asistencia técnica de Polyguard puede respaldar el cumplimiento de:
| Estructura | Cómo ayuda Polyguard |
|---|---|
| SOC 2 (Criterios de Servicios Fiduciarios) | Proporciona evidencia de controles de verificación de identidad para la gestión de acceso. |
| ISO 27001 | Admite requisitos de control de acceso (A.9) y seguridad de operaciones (A.12) |
| NIST 800-63 | Se alinea con los niveles de garantía de autenticación y prueba de identidad |
| PCI DSS | Admite requisitos estrictos de autenticación para acceder a entornos de datos de titulares de tarjetas |
| HIPAA | Proporciona confirmación de identidad verificable para el acceso a sistemas que contienen información de salud protegida. |
| SOX (Sarbanes-Oxley) | Crea registros auditables de verificación de identidad para el acceso a los sistemas financieros. |
Consulte a su equipo de cumplimiento
La información anterior se proporciona como orientación general. Trabaje con los equipos legales y de cumplimiento de su organización para determinar cómo los registros de verificación de Polyguard encajan en sus obligaciones regulatorias y procesos de auditoría específicos.
Retención de datos¶
Polyguard conserva los registros de verificación durante el período especificado en el acuerdo de servicio de su organización. Los períodos de retención predeterminados son:
- Registros de sesiones de verificación: disponibles durante al menos dos años a partir de la fecha de la verificación
- Declaraciones juradas de transacciones: disponibles durante al menos dos años a partir de la fecha de generación
- Registros de entrega de webhook: disponibles durante 90 días a partir de la fecha de entrega
Si su organización requiere una retención más prolongada, puede exportar registros a través de la API REST y almacenarlos en sus propios sistemas.
Polyguard no conserva los datos biométricos de los empleados
Polyguard no almacena datos biométricos de los empleados, escaneos faciales ni imágenes de documentos de identidad en sus servidores. Todos los datos biométricos permanecen en el dispositivo del empleado. Los registros de verificación contienen solo las pruebas redactadas y los resultados de la certificación, nunca los datos personales subyacentes.
¿Qué sigue?¶
- MFA y verificación de restablecimiento de contraseña: el flujo de trabajo de verificación paso a paso del agente
- Configuración de Polyguard para la mesa de ayuda - Revisar la configuración y la configuración de integración
- Regrese a Servicio de ayuda y descripción general del restablecimiento de contraseña