现已在平台中运行的控制措施
这些是关于 LifeOrion 当前运作方式的现状事实,而非愿景。
对每项操作的审计日志
每一次创建、更新和删除都会被记录在完整的审计轨迹中,因此您可以重建何人在何时更改了什么。
Argon2 凭证加密
用户凭证使用 Argon2 进行哈希处理,这是一种旨在抵御暴力破解和基于 GPU 攻击的现代标准。
失败即关闭的 JWT 会话
会话安全采用失败即关闭的 JWT。如果令牌缺失、过期或无效,则默认拒绝访问。
速率限制
请求速率限制可保护身份验证和 API 端点,防范滥用、撞库攻击和自动化攻击。
覆盖全部三个门户的 RBAC
基于角色的访问控制管控 SuperAdmin、客户和合作伙伴门户,使每位用户仅能在其角色所允许的范围内操作。
加密
数据通过加密得到保护,以在整个平台中支持机密性。
带回收站与还原的软删除
删除可恢复。记录会移入回收站,并可还原——可单条或批量进行,覆盖所有实体。
多地区支持
多地区部署让您可以将数据保留在符合您运营和监管要求的地理区域内。
我们在正式合规方面的方向
以下各项尚非已获得的认证。它们描述的是 LifeOrion 架构旨在支持的框架,以及我们路线图中的认证。随着每一项达成,我们都会更新本页面。
SOC 2 Type II
路线图中我们正朝着针对自身安全性、可用性和机密性控制措施的 SOC 2 Type II 审查而努力。
HIPAA
旨在支持LifeOrion 旨在支持以 HIPAA 为准则处理受保护健康信息,包括审计轨迹、访问控制和加密。商业伙伴协议(BAA)在我们的路线图中。
ISO 27001
路线图中我们正将信息安全管理实践朝着 ISO 27001 认证方向对齐。
CLIA / CAP
旨在支持LifeOrion 专为通过 CLIA 和 CAP 认证的实验室的工作流而构建,包括受控的结果审核、QC 和报告发布。
21 CFR Part 11
旨在支持我们的审计日志、访问控制和受控的记录生命周期旨在支持 21 CFR Part 11 的电子记录和电子签名工作流。
凡某一框架被描述为「旨在支持」,即表示其架构上的一致性,而非已完成的认证或鉴证。
以最小权限为设计原则,并完整记录每一次更改
访问范围受限、按租户隔离,且完全可审计。
LifeOrion 在 SuperAdmin、客户和合作伙伴门户中实施基于角色的访问控制。权限遵循最小权限模型:用户仅获得其角色所需的访问权限,绝不多予,并通过站点范围的视图将员工限定在其所分配的情境中。
该平台采用多租户架构,通过租户隔离将每家实验室的数据相互分隔。运营方、实验室和合作伙伴在同一平台中工作,彼此无法看到对方的记录。加盟商可在全面白标下运营,同时其数据保持隔离。
每一次创建、更新和删除都被记录在端到端的审计轨迹中。结合软删除以及回收站与还原功能,这为 QA 和合规团队提供了可经得起辩护的活动记录,以及从错误中恢复的途径。
- 覆盖全部三个门户的基于角色的访问控制
- 对每家实验室数据的租户隔离
- 对每一次更改的端到端审计轨迹
- 支持单条和批量还原的软删除