Cumplimiento normativo del número Aadhaar de UIDAI

Los siguientes estándares se extrajeron de la sección "Política de seguridad de la información de UIDAI - Ecosistema externo de UIDAI - Agencia de usuario de autenticación/Agencia de usuario de KYC" de la actualización del 30 de abril de 2018 de UIADAI de su Compendio de regulaciones, circulares y pautas para (Agencia de usuario de autenticación [AUA]/Agencia de usuarios de E-KYC [KUA], Agencia de servicios de autenticación [ASA] y proveedor de dispositivos biométricos) [El Compendio]:

Control de acceso a usuarios

2.6 Control de acceso
1. Solo las personas autorizadas tendrán acceso a las instalaciones de información (como la aplicación de autenticación, los registros de auditoría, los servidores de autenticación, la aplicación, el código fuente, la infraestructura de seguridad de la información, etc.) que procesan la información de UIDAI.

Cifrado de datos estáticos y en movimiento

2.8 Criptografía
1. El bloque de datos de identidad personal (PID) que comprende los datos demográficos/biométricos del residente se cifrará según los últimos documentos de APIs especificados por UIDAI en el dispositivo de punto final utilizado para la autenticación (por ejemplo, terminal PoT)

2. El PID se cifrará durante el tránsito y el flujo dentro del ecosistema AUA / KUA y mientras se comparte esta información con los ASA.

Administración de claves de cifrado

2.8 Criptografía
6. Todas las AUA / KUA realizarán actividades de administración de claves para proteger las claves a lo largo de su ciclo de vida. Las actividades abordarán los siguientes aspectos de la administración de claves, que incluyen;

a) generación de claves;

b) distribución de claves;

c) almacenamiento seguro de claves;

d) custodios de claves y requisitos para el control dual;

e) prevención de sustitución no autorizada de claves;

f) reemplazo de claves comprometidas conocidas o sospechadas;

g) Revocación de claves y registro y auditoría de actividades relacionadas con la administración de claves.

Registro de acceso a la base de datos

2.10 Seguridad de las operaciones
12. Las AUAs/KUAs se asegurarán de que los registros de eventos que registran las actividades críticas del usuario, las excepciones y los eventos de seguridad estén habilitados y almacenados para ayudar en futuras investigaciones, así como monitoreo del control de acceso;

13. Se llevará a cabo un seguimiento regular de los registros de auditoría para detectar cualquier posible uso no autorizado de los sistemas de información y se registrarán los resultados. El acceso a las pistas de auditoría y los registros de eventos se proporcionarán únicamente al personal autorizado.

Tokenización de números Aadhaar

Esta guía es de la "Circular 11020/205/2017" en el Compendio:

Con el fin de mejorar el nivel de seguridad para almacenar los números Aadhaar, se ha ordenado que todas las AUAs/KUAs/Sub-AUAs y otras entidades que recopilen y almacenen el número Aadhaar para propósitos específicos bajo la Ley Aadhaar de 2016, deben comenzar a usar Referencia Claves asignadas a números de Aadhaar mediante tokenización en todos los sistemas.

(a) Todas las entidades tienen la obligación de almacenar Números Aadhaar y cualquier dato Aadhaar conectado (por ejemplo, eKYC XML que contiene el número y datos Aadhaar) en una base de datos/bóveda/sistema seguro separado. Este sistema se denominará "Bóveda de datos Aadhaar" y será el único lugar donde se almacenarán el Número Aadhaar y cualquier dato Aadhaar conectado.

(c) Cada número de Aadhaar debe ser referido por una clave adicional llamada Clave de Referencia. El mapeo de la clave de referencia y el número de Aadhaar se mantendrá en la Bóveda de datos de Aadhaar.

(d) Todos los casos de uso comercial de las entidades utilizarán esta clave de referencia en lugar del número de Aadhaar en todos los sistemas donde dicha clave de referencia deba almacenarse/mapearse, es decir, todas las tablas/sistemas que requieran el almacenamiento de números de Aadhaar para sus transacciones comerciales deben mantener solo la clave de referencia de ahora en adelante. El número real de Aadhaar no debe almacenarse en ninguna base de datos comercial que no sea la bóveda de Aadhaar.

El uso de HSMs con certificación FIPS 140-2 para la protección de claves criptográficas

También de la "Circular 11020/205/2017" en el Compendio:

(f) El número de Aadhaar y cualquier dato conectado que se mantenga en la Bóveda de datos de Aadhaar siempre se mantendrá encriptado y el acceso a él se controlará estrictamente solo para los sistemas autorizados. Las claves para el cifrado deben almacenarse solo en dispositivos HSM.

Resumen del cumplimiento

Thales e-Security puede ayudarlo a cumplir muchos de los requisitos de la Regulación del número Aadhar de UIDAI a través de lo siguiente:

Gestión de accesos y autenticación robustas

Las soluciones de autenticación y administración de acceso de Thales brindan los mecanismos de seguridad y las capacidades de generación de informes que necesitan las organizaciones para cumplir con las regulaciones de seguridad de datos. Nuestras soluciones protegen los datos confidenciales mediante la aplicación de los controles de acceso adecuados, cuando los usuarios inician sesión en aplicaciones que almacenan datos confidenciales. Al admitir una amplia gama de métodos de autenticación y acceso basado en roles impulsado por políticas, nuestras soluciones ayudan a las empresas a mitigar el riesgo de brechas de datos debido a credenciales comprometidas o robadas, o mediante el abuso de credenciales internas.

La compatibilidad con el inicio de sesión único inteligente y la autenticación intensificada les permite a las organizaciones optimizar la comodidad para los usuarios finales, asegurando que solo tengan que autenticarse cuando sea necesario. Los informes extensos le permiten a las empresas producir un registro de auditoría detallado de todos los eventos de acceso y autenticación, lo que garantiza que puedan demostrar el cumplimiento de una amplia gama de regulaciones.

La plataforma CipherTrust Data Security Platform

La Vormetric Data Security Platform de Thales es la única solución con un esquema único extensible para proteger los datos en reposo bajo los diversos requisitos de las Agencias Federales en la más amplia gama de plataformas de sistemas operativos, bases de datos, entornos de nube e implementaciones de Big Data. El resultado es un bajo costo total de propiedad, así como una implementación y operación simples y eficientes.

• CipherTrust Transparent Encryption proporciona cifrado de datos en reposo a nivel de volumen y archivo, administración segura de claves y controles de acceso requeridos por las regulaciones y los regímenes de cumplimiento.
• CipherTrust Key Management permite la administración centralizada de claves de cifrado para otros entornos y dispositivos, incluido el hardware compatible con KMIP, claves maestras TDE de Oracle y SQL Server, así como certificados digitales.
• CipherTrust Security Intelligence proporciona otro nivel de protección contra personas internas malintencionadas, usuarios privilegiados, APTs y otros ataques que comprometen los datos al proporcionar la información del patrón de acceso que puede identificar un incidente en curso.
• CipherTrust Application Data Protection les permite a las empresas crear fácilmente capacidades de cifrado en aplicaciones internas a nivel de campo y columna.
•  CipherTrust Tokenization reduce de forma dramática el costo y esfuerzo necesario para cumplir con las políticas de seguridad y obligaciones reglamentarias como Aadhaar. La solución ofrece capacidades para la tokenización de bases de datos y seguridad para una visualización dinámica. Permite que los administradores establezcan políticas para devolver un campo completo tokenizado o enmascarar dinámicamente partes de un campo. Con las capacidades de tokenización de la solución que preservan el formato, usted puede restringir el acceso a activos confidenciales y, al mismo tiempo, formatear los datos protegidos de una manera que les permita a muchos usuarios hacer su trabajo.

Cifrado de alta velocidad de Thales

Los cifradores de alta velocidad de Thales ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.

HSMs Luna con certificación FIPS 140-2 para la protección de claves criptográficas

LosHSMs Luna de Thales ofrecen un entorno fortalecido y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Disponible en tres factores de forma con certificación FIPS 140-2, los HSMs Luna son compatibles con variedad de escenarios de implementación.

Adicionalmente, los HSMs Luna:

• Generan y protegen las claves de autoridad de raíz y certificación (AC), prestando apoyo para las PKIs en una variedad de casos de uso.
• Firman su código de solicitud de manera que pueda asegurarse de que sus programas se mantengan seguros, sin alteraciones y auténticos
• Elaboran certificados digitales para otorgar credenciales y autenticar dispositivos electrónicos patentados para aplicaciones de IoT y otras implementaciones de la red.