Conformità al Regolamento Aadhaar dell’UIDAI

I seguenti standard sono tratti dalla sezione “UIDAI Information Security Policy – UIDAI External Ecosystem – Authentication User Agency/KYC User Agency” dell’aggiornamento apportato dall’UIDAI del 30 aprile 2018 al suo Compendio dei regolamenti, delle circolari e degli orientamenti per (enti di autenticazione degli utenti / KYC, enti di autenticazione dei servizi e fornitori di servizi biometrici) [Il Compendio]:

Controllo degli accessi degli utenti

2.6 Controllo degli accessi
1. Solo alle persone autorizzate è consentito l'accesso ai servizi di informazione (ad es. applicazioni di autenticazione, registri di controllo, server di autenticazione, applicazioni, codice sorgente, infrastruttura di sicurezza IT, ecc.) per il trattamento dei dati UIDAI

Crittografia di dati a riposo e in movimento

2.8 Crittografia
1. Il blocco di dati personali comprendente i dati demografici / biometrici del residente deve essere crittografato secondo i documenti API più aggiornati specificati dall'UIDAI sul terminale utilizzato per l'autenticazione (ad es. terminale PoT)

2. I dati personali devono essere crittografati durante il transito e il flusso all’interno dell’ecosistema AUA (ente di autenticazione degli utenti) / KUA (Ente di autenticazione KYC) e durante la condivisione delle informazioni con gli enti di autenticazione dei servizi

Gestione delle chiavi crittografiche

2.8 Crittografia
6. Le attività di gestione delle chiavi devono essere eseguite da tutti gli enti di autenticazione degli utenti e KYC per proteggerle durante l’intero ciclo di vita. Le attività riguardano i seguenti aspetti della gestione delle chiavi, tra cui:

a) generazione;

b) distribuzione;

c) archiviazione sicura;

d) custodi e requisiti per il doppio controllo;

e) prevenzione della sostituzione non autorizzata;

f) sostituzione di chiavi compromesse note o sospette;

g) revoca, registrazione e revisione delle attività connesse alla gestione delle chiavi.

Log degli accessi al database

2.10 Sicurezza delle operazioni
12. Gli enti di autenticazione degli utenti e KYC devono provvedere affinché i registri degli eventi che monitorano le attività critiche degli utenti, le eccezioni e gli eventi di sicurezza siano abilitati e archiviati per assistere in futuro le indagini e il monitoraggio del controllo degli accessi;

13. Il monitoraggio periodico dei registri degli audit deve essere effettuato per qualunque utilizzo non autorizzato dei sistemi di informazione e i relativi risultati devono essere registrati. L'accesso agli audit trail e ai registri degli eventi è consentito solo al personale autorizzato

Tokenizzazione di numeri Aadhaar

Questa indicazione è contenuta nella “Circolare 11020/205/2017" del Compendio:

Al fine di migliorare il livello di sicurezza dell'archiviazione dei numeri Aadhaar, gli AUA / KUA / sub-AUA e altre entità che raccolgono e archiviano numeri Aadhaar per scopi specifici ai sensi dell’Aadhaar Act 2016 dovranno utilizzare in ogni sistema chiavi di riferimento associate ai numeri Aadhaar tramite la tokenizzazione.

(a) Tutte le entità hanno l'obbligo di archiviare numeri e dati Aadhaar (ad es. XML eKYC contenenti numero e dati Aadhaar) in un database / vault / sistema separato. Questo sistema sarà denominato “Vault di dati Aadhaar” e sarà l’unico ambiente in cui potranno essere archiviati il numero Aadhaar e i dati connessi.

(c) Ogni numero Aadhaar è rinviato a una chiave ulteriore, denominata “chiave di riferimento”. La mappatura della chiave di riferimento e del numero Aadhaar deve essere mantenuta nel vault di dati Aadhaar.

(D) Tutti gli usi commerciali da parte delle entità devono utilizzare questa chiave di riferimento anziché il numero Aadhaar in ogni sistema in cui tale chiave deve essere archiviata / mappata, ovvero ogni tabella / sistema che richiede l'archiviazione di numeri Aadhaar per le transazioni aziendali deve mantenere esclusivamente la chiave di riferimento. Il numero Aadhaar vero e proprio non dovrebbe essere archiviato in database aziendali diversi dal vault Aadhaar.

L’utilizzo di HSM certificati FIPS 140-2 per proteggere chiavi crittografiche

La Circolare 11020/205/2017 del Compendio prevede inoltre che:

(f) Il numero Aadhaar e qualunque dato connesso archiviato nel vault di dati Aadhaar debbano essere crittografati e l'accesso a tali informazioni sia ristretto esclusivamente ai sistemi autorizzati. Le chiavi crittografiche devono essere archiviate solamente in dispositivi HSM.

Sintesi della messa in conformità

e-Security di Thales può aiutarti a garantire la conformità a molti requisiti del Regolamento Aadhaar dell’UIDAI grazie alle funzionalità seguenti:

Gestione degli accessi e autenticazione avanzate

Le soluzioni di Thales di gestione degli accessi e autenticazione garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le organizzazioni hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando controlli degli accessi adeguati quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

CipherTrust Data Security Platform

La CipherTrust Data Security Platform di Thales è l'unica soluzione con un framework flessibile univoco che permette di proteggere i dati a riposo rispettando le diverse esigenze delle aziende su una vasta gamma di piattaforme OS, database, ambienti cloud e implementazioni di big data. Ne risulta un costo totale di proprietà ridotto con implementazioni e operazioni efficienti.

• CipherTrust Transparent Encryption fornisce una crittografia dei dati a riposo a livello di file e volumi, nonché una gestione delle chiavi e controlli degli accessi sicuri come richiesto dagli enti normativi e di conformità.
• CipherTrust Key Management permette una gestione centralizzata delle chiavi di crittografia per altri ambienti e dispositivi, tra cui hardware compatibile con KMIP, chiavi master Oracle e SQL Server TDE e certificati digitali.
• CipherTrust Security Intelligence fornisce un ulteriore livello di protezione dalle minacce provenienti dall'interno, da utenti privilegiati, APT e altri tipi di attacchi che compromettono i dati fornendo le informazioni di pattern di accesso in grado di identificare incidenti in corso.
• CipherTrust Application Data Protection consente alle agenzie di creare facilmente funzionalità crittografiche in applicazioni interne a livello di campo e colonna.
• CipherTrust Tokenization riduce drasticamente i costi e gli sforzi associati alla messa in conformità con criteri di sicurezza e mandati normativi come l’Aadhaar. La soluzione offre funzionalità per la tokenizzazione del database e la sicurezza dinamica del display. Permette agli amministratori di stabilire criteri per tokenizzare campi interi o mascherare parti di essi in modo dinamico. Grazie ai token capaci di mantenere il formato, puoi limitare l'accesso a risorse sensibili formattando allo stesso tempo i dati protetti in modo da permettere agli utenti di svolgere i propri compiti.

HSE di Thales

Gli HSE (High Speed Encryptor) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premises al cloud e viceversa. Le nostre soluzioni HSE consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto a un costo accessibile e senza compromettere le prestazioni.

HSM Luna certificati FIPS 140-2 per proteggere chiavi crittografiche

Gli HSM Luna di Thales forniscono un ambiente temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Disponibili in tre fattori di forma certificati secondo lo standard FIPS 140-2, gli HSM Luna supportano svariati tipi di deployment.

Inoltre, gli HSM Luna:

• Generano e proteggono chiavi di root e CA, supportando le PKI in numerosi casi d’uso
• Firmano il codice delle applicazioni in modo da garantire che il tuo software sia sicuro, inalterato e autentico
• Creano certificati digitali per le credenziali e l’autenticazione di dispositivi elettronici proprietari per applicazioni IoT e altri deployment di rete.