Einhaltung der Aadhaar Number Regulation der UIDAI

Bei den folgenden Standards handelt es sich um Auszüge aus dem Abschnitt „UIDAI Information Security Policy – UIDAI External Ecosystem – Authentication User Agency/KYC User Agency” in der aktualisierten Version vom 30. April 2018 des Compendium of Regulations, Circulars & Guidelines for (Authentication User Agency [AUA]/E-KYC User Agency [KUA], Authentication Service Agency [ASA] and Biometric Device Provider) [The Compendium] der UIDAI:

Kontrolle des Benutzerzugriffs

2.6 Zugriffskontrolle
1. Nur berechtigte Personen erhalten Zugang zu Informationseinrichtungen (wie Authentifizierungsanwendungen, Aktivitätsprotokolle, Authentifizierungsserver, Anwendungen, Quellcode, Informationssicherheitsinfrastruktur usw.), die UIDAI-Daten verarbeiten.

Verschlüsselung von Data-at-Rest und Data-in-Motion

2.8 Kryptographie
1. Der Block aus personenbezogenen Daten bestehend aus den demografischen/biometrischen Daten des Einwohners wird gemäß den aktuellsten von der UIDAI festgelegten API-Dokumenten auf dem zur Authentifizierung verwendeten Endgerät (z. B. einem Kassenterminal) verschlüsselt.

2. Die personenbezogenen Daten werden während der Übermittlung innerhalb des AUA-/KUA-Ökosystems und bei der Weitergabe an die ASA verschlüsselt.

Verwaltung von kryptographischen Schlüsseln

2.8 Kryptographie
6. Alle AUA/KUA müssen Schlüsselverwaltungsaktivitäten durchführen, um die Schlüssel über ihren gesamten Lebenszyklus zu schützen. Diese Aktivitäten müssen unter anderem die folgenden Aspekte der Schlüsselverwaltung umfassen:

a) Schlüsselerstellung;

b) Schlüsselverteilung;

c) Sichere Schlüsselspeicherung;

d) Schlüsselverwalter und Vier-Augen-Prinzip

e) Verhinderung eines unbefugten Austauschs der Schlüssel

f) Ersatz kompromittierter oder mutmaßlich kompromittierter Schlüssel;

g) Schlüsselwiderruf sowie Protokollierung und Prüfung der mit der Schlüsselverwaltung in Zusammenhang stehenden Aktivitäten.

Protokollierung des Datenbankzugriffs

2.10 Betriebssicherheit
12. AUA/KUA müssen sicherstellen, dass die Protokolle zur Aufzeichnung kritischer Benutzeraktivitäten, Ausnahmen und Sicherheitsvorfälle aktiviert sind und für zukünftige Untersuchungen und die Überwachung des Benutzerzugriffs gespeichert werden.

13. Die Aktivitätsprotokolle müssen regelmäßig überwacht werden, um eine mögliche unbefugte Nutzung von Informationssystemen und Informationen aufzuzeichnen. Nur berechtigten Mitarbeiter darf Zugriff auf die Aktivitäts- und Ereignisprotokolle gewährt werden.

Tokenisierung von Aadhaar-Nummern

Diese Richtlinien sind Teil des "Rundschreibens 11020/205/2017" aus dem Compendium

Um die Sicherheit bei der Speicherung von Aadhaar-Nummern zu erhöhen, wurde verfügt, dass alle AUA/KUA/Sub-KUA und sonstige Stellen, die Aadhaar-Nummern zu bestimmten Zwecken gemäß dem Aadhaar Act 2016 erfassen und speichern, damit beginnen sollen, den Aadhaar-Nummern mittels Tokenisierung in allen Systemen zugeordnete Referenzschlüsseln zu verwenden.

(a) Alle entsprechenden Stellen sind verpflichtet, Aadhaar-Nummern und alle damit verbundenen Aadhaar-Daten (z. B. eKYC XML, die Aadhaar-Nummern und Daten enthalten) in separaten sicheren Datenbanken/Vaults/Systemen zu speichern. Diese Systeme werden als „Aadhaar Data Vault“ bezeichnet. Aadhaar-Nummern und alle damit verbundenen Aadhaar-Daten dürfen an keinen anderen Ort gespeichert werden.

(c) Jeder Aadhaar-Nummer ist ein zusätzlicher Schlüssel zugeordnet, der als Referenzschlüssel bezeichnet wird. Die Zuordnung von Referenzschlüsseln und Aadhaar-Nummern muss im Aadhaar Data Vault verwaltet werden.

(d) Alle Unternehmen und sonstigen Stellen sollen im Anwendungsfall in allen Systemen, in denen es erforderlich ist, einen solchen Referenzschlüssel zu speichern bzw. zuzuordnen, anstelle der Aadhaar-Nummer diesen Referenzschlüssel verwenden. Alle Tabellen/Systeme, in denen Aadhaar-Nummer für Geschäftstransaktionen gespeichert werden müssen, verwahren also ab sofort nur noch den Referenzschlüssel. Die aktuelle Aadhaar-Nummer sollte nicht in anderen Unternehmensdatenbanken außer dem Aadhaar Vault gespeichert werden.

Die Nutzung nach FIPS 140-2 zertifizierter HSM zum Schutz kryptographischer Schlüssel

Ebenfalls Teil des Rundschreibens 11020/205/2017 aus dem Compendium:

(f) Die Aadhaar-Nummer und alle damit verbundenen Daten, die im Aadhaar Data Vault gespeichert sind, müssen stets verschlüsselt sein und es wird strikt überwacht, dass nur berechtigte Systeme auf diese zugreifen. Die kryptographischen Schlüssel werden ausschließlich in HSM-Geräten gespeichert.

Überblick über die Einhaltung der Vorschriften

Thales e-Security kann Sie mit den folgenden Maßnahmen dabei unterstützen, viele der Bestimmungen der Aadhaar Number Regulation der UIDAI einzuhalten:

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Die CipherTrust Data Security Platform

Die CipherTrust Data Security Platform von Thales ist die einzige Lösung, die einen einzelnen erweiterbaren Rahmen bietet, um Data-at-Rest gemäß den unterschiedlichen Vorgaben für Unternehmen in einer Vielzahl an Betriebssystemen, Datenbanken, Cloud-Umgebungen und Big-Data-Implementierungen zu schützen. Das senkt die Betriebskosten und gewährleistet eine einfache und schnelle Bereitstellung sowie einen reibungslosen Betrieb.

• CipherTrust Transparent Encryption verschlüsselt Data-at-Rest auf Datei- und Volume-Ebene und bietet sichere Schlüsselverwaltung und Zugriffskontrolle entsprechend den regulatorischen und gesetzlichen Vorgaben.
• CipherTrust Key Management ermöglicht die zentrale Verwaltung Ihrer kryptographischen Schlüssel für andere Umgebungen und Geräte einschließlich KMIP-kompatibler Hardware, Masterschlüssel für Oracle und SQL Server TED sowie digitale Zertifikate.
• CipherTrust Security Intelligence bietet zusätzlichen Schutz vor böswilligen Insidern, privilegierten Benutzern, APTs und sonstigen Angriffen, die die Sicherheit von Daten gefährden, indem es die erforderlichen Informationen zu Zugriffsmustern liefert, mit denen ein laufender Vorfall entdeckt werden kann.
• Mit CipherTrust Application Data Protection können Behörden ganz einfach Verschlüsselungsfunktionen in interne Anwendungen auf Feld- und Spaltenebene integrieren.
• CipherTrust Tokenization reduziert die Kosten und den Aufwand für die Einhaltung von Sicherheitsrichtlinien und gesetzlichen Auflagen wie Aadhaar drastisch. Die Lösung stellt Funktionen für die Tokenisierung von Datenbanken und die Sicherheit dynamischer Displays bereit. Es ermöglicht Administratoren, Richtlinien zu erstellen, um ein gesamtes Feld zu tokenisieren oder Teile eines Feldes dynamisch zu maskieren. Die Tokenisierungsfunktionen der Lösung behalten das ursprüngliche Format bei. So können Sie den Zugriff auf sensible Datensätze beschränken und gleichzeitig die geschützten Daten so formatieren, dass eine Vielzahl von Benutzern diese für Ihre Aufgaben nutzen können.

High Speed Encryptors von Thales

Die High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Ebene 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen.

Nach FIPS 140-2 zertifizierte Luna-HSM zum Schutz kryptographischer Schlüssel

Luna-HSM von Thales bieten eine gehärtete, manipulationssichere Umgebung unter anderem für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz sowie Verschlüsselung. Luna-HSM sind in drei nach FIPS 140-2 zertifizierten Formfaktoren erhältlich und unterstützen zahlreiche unterschiedliche Bereitstellungsszenarien.

Außerdem können Sie mit Luna-HSM:

• Schlüssel für Root- und Zertifizierungsstellen erstellen und schützen und so PKI in unterschiedlichen Anwendungsfällen unterstützen
• Ihren Anwendungscode signieren, damit sichergestellt ist, dass Ihre Software sicher, unverändert und authentisch bleibt.
• digitale Zertifikate für die Berechtigungsprüfung und Authentifizierung proprietärer elektronischer Geräte für IoT-Anwendungen und sonstige Netzwerkbereitstellungen erstellen.