Conformité à la réglementation relative au système d’identification Aadhaar de l’UIDAI

Les normes suivantes sont extraites de la section « UIDAI Information Security Policy – UIDAI External Ecosystem – Authentication User Agency/KYC User Agency » de la mise à jour (30 avril 2018) du Recueil de réglementations, de circulaires et de directives de l’UIDAI pour (l’AUA [Authentication User Agency]/la KUA [E-KYC User Agency], l’ASA [Authentication Service Agency] et le fournisseur d’appareils biométriques) [le Recueil] :

Contrôle des accès d’utilisateur

2.6 Contrôle des accès
1. Seuls les individus autorisés auront accès aux sites informatiques (p. ex. l’application d’authentification, les journaux d’audit, les serveurs d’authentification, l’application, le code source, l’infrastructure de sécurité informatique) chargés du traitement des informations de l’UIDAI.

Chiffrement des données au repos et en transit

2.8 Cryptographie
1. Le bloc PID (Personal Identity Data) contenant les données démographiques/biométriques du résident doit être chiffré comme stipulé dans les derniers documents API spécifiés par l’UIDAI au dispositif de point de terminaison utilisé pour l’authentification (périphériques de point de transaction, par exemple).

2. Le bloc PID doit être chiffré pendant le transit et la circulation dans l’écosystème AUA/KUA et pendant le partage de ces informations avec les ASA.

Gestion des clés de chiffrement

2.8 Cryptographie
6. Les activités de gestion des clés doivent être effectuées par tous les AUA/KUA afin de protéger les clés pendant l’intégralité de leur cycle de vie. Les activités doivent concerner les aspects suivants de la gestion des clés, y compris :

a) la génération des clés ;

b) la distribution des clés ;

c) le stockage sécurisé des clés ;

d) les gardiens des clés et les exigences d’un double contrôle ;

e) la prévention des substitutions non autorisées de clés ;

f) le remplacement des clés potentiellement compromises ou identifiées comme étant compromises ;

g) la révocation des clés, la journalisation et la vérification des activités associées à la gestion des clés.

Journalisation des accès de bases de données

2.10 Sécurité des opérations
12. Les AUA/KUA doivent garantir que les journaux d’événements enregistrant les activités d’utilisateur essentielles, les exceptions et les événements de sécurité sont activés et stockés afin d’aider lors des enquêtes futures et de la surveillance du contrôle des accès ;

13. La surveillance régulière des journaux d’audit doit avoir lieu pour toute utilisation potentiellement non autorisée des systèmes informatiques, avec l’obligation d’enregistrer les résultats. L’accès aux traces de vérification et aux journaux d’événement ne doit être octroyé qu’au personnel autorisé.

Tokénisation des numéros Aadhaar

Ces conseils sont issus de la « Circulaire 11020/205/2017 » du Recueil :

Afin d’améliorer le niveau de sécurité pour le stockage des numéros Aadhaar, la loi Aadhaar de 2016 exige de tous les AUA/KUA/Sub-AUA, et de toute autre entité qui collecte et stocke les numéros Aadhaar à des fins spécifiques, qu’ils commencent à utiliser des clés de référence qui correspondent aux numéros Aadhaar grâce à une tokénisation dans tous les systèmes.

(a) Toutes les entités doivent obligatoirement stocker les numéros Aadhaar et les données associées (p. ex. le fichier eKYC XML qui contient les numéros Aadhaar et les données associées) dans une base de données, un coffre ou un système séparé. Ce système sera appelé « Coffre de données Aadhaar » et sera le seul endroit où les numéros et les données Aadhaar seront stockés.

(c) Chaque numéro Aadhaar doit être désigné par une clé supplémentaire appelée « Clé de référence » La correspondance entre la clé de référence et le numéro Aadhaar doit être conservée dans le Coffre de données Aadhaar.

(d) Tous les cas d’utilisation d’entreprise des entités doivent utiliser cette Clé de référence au lieu du numéro Aadhaar dans tous les systèmes où cette clé de référence doit être stockée/associée ; ainsi, tous les tableaux et tous les systèmes nécessitant un stockage des numéros Aadhaar pour les transactions commerciales doivent dorénavant ne contenir que la clé de référence. Le numéro Aadhaar ne doit être stocké dans aucune base de données d’entreprise en dehors du coffre de données Aadhaar.

L’utilisation de HSM certifiés FIPS 140-2 pour la protection des clés cryptographiques

Contenu également issu de la Circulaire 11020/205/2017 du Recueil :

(f) Le numéro Aadhaar et toute autre donnée associée contenus dans le Coffre de données Aadhaar doivent toujours être chiffrés, et l’accès doit être sous contrôle strict, pour les systèmes autorisés uniquement. Les clés utilisées pour le chiffrement doivent être stockées dans les HSM uniquement.

Récapitulatif de conformité

Thales e-Security peut vous aider à vous conformer à un grand nombre des exigences de la réglementation relative au système d’identification Aadhaar de l’UIDAI, grâce aux éléments suivants :

Gestion des accès et authentification robustes

Les solutions de gestion de l’authentification et des accès de Thales fournissent les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les organisations ont besoin pour garantir leur conformité aux réglementations concernant la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent les données sensibles. En prenant en charge une gamme étendue de méthodes d’authentification et un accès basé sur les rôles et axé sur les politiques, nos solutions aident les entreprises à réduire les risques de violation de données dus à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants en interne.

La prise en charge de l’identification unique et intelligente et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, garantissant une authentification de leur part uniquement lorsque cela est nécessaire. La génération de rapports étendue permet aux entreprises de produire une trace de vérification détaillée de tous les événements d’accès et d’authentification, garantissant qu’ils peuvent prouver leur conformité à une gamme étendue de réglementations.

CipherTrust Data Security Platform

CipherTrust Data Security Platform de Thales est la seule solution avec une infrastructure unique souple pour la protection des données au repos régies par les exigences variées des entreprises sur la gamme la plus vaste de plateformes de systèmes d’exploitation, de bases de données, d’environnements de cloud et d’infrastructures de Big Data. Cela permet de garantir un coût total de possession faible ainsi qu’un déploiement et une exécution simples et efficaces.

• CipherTrust Transparent Encryption fournit un chiffrement des données au repos au niveau des fichiers ou des volumes, une gestion des clés et des contrôles d’accès sécurisés requis par les réglementations et les normes de conformité.
• CipherTrust Key Management permet une gestion centralisée des clés de chiffrement pour d’autres environnements et appareils, y compris le matériel compatible KMIP et les clés principales et les certificats numériques d’Oracle TDE et de SQL Server TDE.
• CipherTrust Security Intelligence fournit un autre niveau de protection contre les individus malveillants en interne, les utilisateurs privilégiés, les menaces persistantes avancées et autres attaques pouvant compromettre les données en fournissant les informations des comportements d’accès permettant d’identifier un incident en cours.
• CipherTrust Application Data Protection permet aux agences d’intégrer des fonctionnalités de chiffrement à des applications internes au niveau du champ et de la colonne en toute simplicité.
• CipherTrust Tokenization réduit considérablement le coût et l’effort requis pour la conformité aux politiques de sécurité et aux mandats règlementaires, tels que la loi Aadhaar. La solution fournit des capacités de tokénisation de base de données et de sécurité de l’affichage dynamique. Elle permet aux administrateurs d’établir des politiques pour renvoyer un champ entièrement tokénisé ou masquer dynamiquement des parties d’un champ. Grâce aux fonctionnalités de tokénisation avec conservation du format de la solution, vous pouvez limiter l’accès aux ressources sensibles tout en formatant en même temps les données protégées de sorte que les nombreux utilisateurs puissent faire leur travail.

Dispositifs de chiffrement à haut débit de Thales

Les dispositifs de chiffrement haut débit High Speed Encryptors (HSE) de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4) garantissant la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le Cloud et inversement. Grâce à nos HSE, les clients peuvent améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée ; le tout à un coût abordable et sans compromis sur les performances.

HSM Luna certifiés FIPS 140-2 pour la protection des clés cryptographiques

Les HSM Luna de Thales fournissent un environnement renforcé et inviolable pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Disponibles dans 3 facteurs de forme certifiés FIPS 140-2, les HSM Luna prennent en charge une vaste gamme de situations de déploiement.

De plus, les HSM Luna :

• Génèrent et protègent les clés racines et des autorités de certification, fournissant une prise en charge des infrastructures PKI dans une gamme étendue de cas d’utilisation.
• Signent le code de vos applications pour que vous puissiez garantir que vos logiciels restent sûrs, intacts et authentiques.
• Créent des certificats numériques pour les appareils électroniques d’accréditation et d’authentification propriétaires pour les applications IoT et autres déploiements réseau.