La Unique Identification Authority of India (UIDAI) è stata istituita ai sensi delle disposizioni dell’Aadhaar Act indiano. L’UIDAI emette numeri identificativi univoci (UID) chiamati Aadhaar1, e fornisce a tutti i residenti del Paese delle carte Aadhaar. Una volta verificata l'unicità delle informazioni demografiche e biometriche degli iscritti, l’UIDAI, ente incaricato di proteggere i dati identitari delle persone e i registri di autenticazione, provvede a generare UID a 12 cifre.
Thales può aiutare la tua organizzazione a ottemperare a molte norme e mandati previsti dall’Aadhaar.
I seguenti standard sono tratti dalla sezione “UIDAI Information Security Policy – UIDAI External Ecosystem – Authentication User Agency/KYC User Agency” dell’aggiornamento apportato dall’UIDAI del 30 aprile 2018 al suo Compendio dei regolamenti, delle circolari e degli orientamenti per (enti di autenticazione degli utenti / KYC, enti di autenticazione dei servizi e fornitori di servizi biometrici) [Il Compendio]:
2.6 Controllo degli accessi
1. Solo alle persone autorizzate è consentito l'accesso ai servizi di informazione (ad es. applicazioni di autenticazione, registri di controllo, server di autenticazione, applicazioni, codice sorgente, infrastruttura di sicurezza IT, ecc.) per il trattamento dei dati UIDAI
Crittografia di dati a riposo e in movimento
2.8 Crittografia
1. Il blocco di dati personali comprendente i dati demografici / biometrici del residente deve essere crittografato secondo i documenti API più aggiornati specificati dall'UIDAI sul terminale utilizzato per l'autenticazione (ad es. terminale PoT)
2. I dati personali devono essere crittografati durante il transito e il flusso all’interno dell’ecosistema AUA (ente di autenticazione degli utenti) / KUA (Ente di autenticazione KYC) e durante la condivisione delle informazioni con gli enti di autenticazione dei servizi
Gestione delle chiavi crittografiche
2.8 Crittografia
6. Le attività di gestione delle chiavi devono essere eseguite da tutti gli enti di autenticazione degli utenti e KYC per proteggerle durante l’intero ciclo di vita. Le attività riguardano i seguenti aspetti della gestione delle chiavi, tra cui:
a) generazione;
b) distribuzione;
c) archiviazione sicura;
d) custodi e requisiti per il doppio controllo;
e) prevenzione della sostituzione non autorizzata;
f) sostituzione di chiavi compromesse note o sospette;
g) revoca, registrazione e revisione delle attività connesse alla gestione delle chiavi.
2.10 Sicurezza delle operazioni
12. Gli enti di autenticazione degli utenti e KYC devono provvedere affinché i registri degli eventi che monitorano le attività critiche degli utenti, le eccezioni e gli eventi di sicurezza siano abilitati e archiviati per assistere in futuro le indagini e il monitoraggio del controllo degli accessi;
13. Il monitoraggio periodico dei registri degli audit deve essere effettuato per qualunque utilizzo non autorizzato dei sistemi di informazione e i relativi risultati devono essere registrati. L'accesso agli audit trail e ai registri degli eventi è consentito solo al personale autorizzato
Questa indicazione è contenuta nella “Circolare 11020/205/2017" del Compendio:
Al fine di migliorare il livello di sicurezza dell'archiviazione dei numeri Aadhaar, gli AUA / KUA / sub-AUA e altre entità che raccolgono e archiviano numeri Aadhaar per scopi specifici ai sensi dell’Aadhaar Act 2016 dovranno utilizzare in ogni sistema chiavi di riferimento associate ai numeri Aadhaar tramite la tokenizzazione.
(a) Tutte le entità hanno l'obbligo di archiviare numeri e dati Aadhaar (ad es. XML eKYC contenenti numero e dati Aadhaar) in un database / vault / sistema separato. Questo sistema sarà denominato “Vault di dati Aadhaar” e sarà l’unico ambiente in cui potranno essere archiviati il numero Aadhaar e i dati connessi.
(c) Ogni numero Aadhaar è rinviato a una chiave ulteriore, denominata “chiave di riferimento”. La mappatura della chiave di riferimento e del numero Aadhaar deve essere mantenuta nel vault di dati Aadhaar.
(D) Tutti gli usi commerciali da parte delle entità devono utilizzare questa chiave di riferimento anziché il numero Aadhaar in ogni sistema in cui tale chiave deve essere archiviata / mappata, ovvero ogni tabella / sistema che richiede l'archiviazione di numeri Aadhaar per le transazioni aziendali deve mantenere esclusivamente la chiave di riferimento. Il numero Aadhaar vero e proprio non dovrebbe essere archiviato in database aziendali diversi dal vault Aadhaar.
La Circolare 11020/205/2017 del Compendio prevede inoltre che:
(f) Il numero Aadhaar e qualunque dato connesso archiviato nel vault di dati Aadhaar debbano essere crittografati e l'accesso a tali informazioni sia ristretto esclusivamente ai sistemi autorizzati. Le chiavi crittografiche devono essere archiviate solamente in dispositivi HSM.
e-Security di Thales può aiutarti a garantire la conformità a molti requisiti del Regolamento Aadhaar dell’UIDAI grazie alle funzionalità seguenti:
Le soluzioni di Thales di gestione degli accessi e autenticazione garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le organizzazioni hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando controlli degli accessi adeguati quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.
Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.
La CipherTrust Data Security Platform di Thales è l'unica soluzione con un framework flessibile univoco che permette di proteggere i dati a riposo rispettando le diverse esigenze delle aziende su una vasta gamma di piattaforme OS, database, ambienti cloud e implementazioni di big data. Ne risulta un costo totale di proprietà ridotto con implementazioni e operazioni efficienti.
Gli HSE (High Speed Encryptor) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premises al cloud e viceversa. Le nostre soluzioni HSE consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto a un costo accessibile e senza compromettere le prestazioni.
Gli HSM Luna di Thales forniscono un ambiente temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Disponibili in tre fattori di forma certificati secondo lo standard FIPS 140-2, gli HSM Luna supportano svariati tipi di deployment.
Inoltre, gli HSM Luna:
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".