Cumplimiento de las Directrices para Activos Digitales en Hong Kong

• «…Generar y almacenar semillas y claves privadas, incluidas sus copias de seguridad, en entornos y dispositivos seguros y a prueba de manipulaciones, como los módulos de seguridad de hardware (HSM)…»
• «…generar, almacenar y realizar copias de seguridad de semillas y claves privadas en Hong Kong…»
• «…restringir el acceso a dispositivos o aplicaciones criptográficas según el principio de necesidad de conocimiento…»
• «…métodos de autenticación sólidos, como la autenticación multifactor, para autenticar el acceso a semillas y claves privadas; mantener un registro de auditoría del acceso a los dispositivos o aplicaciones criptográficas…»
• «…evitar cualquier “punto único de fallo”…»
• «…asegurarse de que cualquier contrato inteligente utilizado en el proceso de custodia no esté sujeto a vulnerabilidades de contrato ni a fallos de seguridad…»

Las instituciones autorizadas pueden proteger los activos digitales de los clientes almacenando, protegiendo y gestionando las claves privadas y las semillas criptográficas (o «seeds») de los monederos con los módulos de seguridad de hardware (HSM) de Thales. Estos módulos son compatibles con protocolos de soluciones de monederos como BIP32 y SLIP10, y ofrecen un conjunto de curvas que incluye SECP256k1, curve25519 y ed25519.

• Los HSM Luna Network protegen todo el ciclo de vida de las claves utilizadas para firmar transacciones en un módulo criptográfico dedicado con certificación FIPS 140-3, con el fin de garantizar la seguridad de los activos digitales de los clientes. Los HSM Luna de Thales son los primeros en el sector en recibir la validación FIPS 140-3 de nivel 3.
• Los HSM ProtectServer, al igual que los HSM Luna Network, están diseñados para proteger las claves criptográficas frente a posibles riesgos, a la vez que proporcionan servicios de cifrado, firma y autenticación.
• Los HSM Luna y ProtectServer cuentan con certificación FIPS 140-3 y FIPS 140-2 de nivel 3, respectivamente, garantizando entornos seguros y a prueba de manipulaciones para la gestión de claves criptográficas en Hong Kong, en cumplimiento de los requisitos de soberanía de datos. El acceso a estos HSM está rigurosamente controlado, con una autenticación multifactor sólida y registros de auditoría detallados de todas las operaciones, lo que mejora la seguridad y el cumplimiento normativo.
• Para evitar cualquier punto único de fallo, ambos HSM ofrecen alta disponibilidad y capacidades de balanceo de carga para proteger este entorno crítico, lo que se alinea con las mejores prácticas internacionales y con las expectativas de seguridad de la HKMA.

• «…copias de seguridad fuera del sitio y planes de contingencia adecuados para semillas criptográficas y claves privadas, que deberían estar sujetos a los mismos controles de seguridad que las semillas criptográficas y claves privadas originales…»
• «…Las semillas criptográficas y claves privadas respaldadas deben mantenerse fuera de línea en una ubicación física segura, que esté separada y no se vea afectada…»

Las instituciones autorizadas pueden almacenar copias de seguridad en HSM externos y gestionar las claves criptográficas en Hong Kong con opciones en entornos locales:

• Realizar copias de seguridad fácilmente y duplicar claves de forma segura en el Luna Backup HSM para cumplir con la normativa, así como para su custodia en caso de emergencia, fallo o desastre. Luna Backup HSM proporciona la máxima seguridad y cumplimiento normativo, y ofrece soporte independiente de Quorum (MofN) con autenticación multifactor para disponer de una mayor seguridad.
• El HSM ProtectServer de Thales emplea tarjetas inteligentes validadas según NIST FIPS 140-2 de nivel 3 para ofrecer la máxima seguridad y comodidad administrativa en la copia de seguridad, recuperación y transferencia segura de claves criptográficas. También admite copias de seguridad con MFA y MofN para mejorar aún más la seguridad de los procesos de autenticación y autorización.

7. Establecer un nivel de ciberseguridad acorde con las aplicaciones tecnológicas tradicionales

El Módulo de Funcionalidad (FM) de criptografía poscuántica (PQC) de los HSM Luna de Thales permite a las instituciones autorizadas utilizar los mecanismos de cifrado resistentes a la computación cuántica finalistas de la ronda 3 del NIST, disponibles hoy para casos de uso como la firma de código u otros que dependen de la infraestructura de clave pública (PKI).

• Permite a las instituciones autorizadas preparar para el futuro y estandarizar algoritmos de firma digital resistentes a la computación cuántica.
• El módulo PQC FM puede instalarse en los HSM PCIe y Network sin realizar modificaciones ni actualizaciones de hardware. Los HSM a prueba de manipulaciones pueden crear y gestionar de forma segura claves resistentes a la computación cuántica de manera eficaz.
• Genera firmas digitales de forma transparente utilizando criptografía de clave pública resistente a la computación cuántica estandarizada e incorpora capacidades de gestión de claves para tipos de clave con estado y sin estado, en cumplimiento de los requisitos de la SP 800-208.
• Luna PQC FM ayuda a validar la agilidad criptográfica al configurar entornos PKI, TLS o VPN resistentes a la computación cuántica junto con una amplia variedad de socios tecnológicos de Thales.

8. Gestionar de forma segura la clave privada
«…demostrar que existen políticas y procedimientos sólidos para garantizar un nivel de seguridad adecuado a cualquier clave privada bajo su custodia o gestión, teniendo en cuenta la naturaleza y los riesgos de la aplicación y de los activos subyacentes asociados a dichas claves…»

Las instituciones autorizadas pueden gestionar semillas y claves privadas de forma segura con los HSM Luna Network y los HSM ProtectServer. Ambos HSM son compatibles con BIP32 y utilizan el Módulo de Funcionalidad (FM) para realizar criptografía personalizada de forma segura, o añadir algoritmos de blockchain personalizados.

• HSM Luna Network
• HSM ProtectServer

8. Gestionar de forma segura la clave privada
«…garantizar que las claves privadas asociadas (y las semillas, cuando proceda) se generen, almacenen y respalden de forma segura en todo momento…»

Los HSM externos permiten a las instituciones autorizadas almacenar copias de seguridad mediante las siguientes opciones:

• Las instituciones autorizadas pueden realizar copias de seguridad y duplicar claves de forma sencilla y segura en el Luna Backup HSM para cumplir los requisitos normativos, así como para su custodia en caso de emergencia, fallo o desastre. Luna Backup HSM ofrece el máximo nivel de seguridad y cumplimiento, y proporciona compatibilidad independiente con la autenticación multifactor Quorum (MofN) para aumentar la seguridad.
• El HSM ProtectServer de Thales utiliza tarjetas inteligentes, que ofrecen el máximo nivel de seguridad y una administración cómoda para la copia de seguridad, recuperación y transferencia segura de claves criptográficas.