インド固有識別番号庁(UIDAI)は、インドの2016年アーダール法の規定に基づいて設立されました。UIDAIは、アーダール1と呼ばれる一意の識別番号(UID)を発行し、インドのすべての居住者にアーダールカードを提供する責任があります。12桁のUIDは、UIDAIが登録者の人口統計および生体認証情報の一意性を検証した後に発効されるもので、UIDAIは、個人のID情報と認証レコードを保護する必要があります。
タレスは、組織がアーダールに必要な多くの規制や指令に準拠するようサポートします。
以下の基準は、UIADAIの(認証ユーザーエージェンシー[AUA]/E-KYCユーザーエージェンシー[KUA]、認証サービスエージェンシー[ASA]、生体認証デバイスプロバイダー)向け規制、回覧およびガイドライン概要[大要]の2018年4月30日改訂版の「UIDAI情報セキュリティポリシー – UIDAI外部エコシステム – 認証ユーザーエージェンシー/KYCユーザーエージェンシー」セクションから抜粋したものです。
2.6 アクセス制御
1. 承認された個人のみが、UIDAI情報を処理する情報機能(認証アプリケーション、監査ログ、認証サーバー、アプリケーション、ソースコード、情報セキュリティインフラストラクチャなど)にアクセスできます
保存中・移動中データの暗号化
2.8 暗号化
1. 居住者の人口統計/生体認証データで構成される個人識別データ(PID)ブロックは、UIDAIが指定する最新のAPIドキュメントに従い、認証に使用されるエンドポイントデバイス(PoT端末など)によって暗号化されます
2. PIDは、AUA / KUAエコシステム内を転送・移動する際や、この情報をASAと共有する際に、暗号化された状態である必要があります
暗号鍵管理
2.8 暗号化
6. 鍵管理アクティビティは、ライフサイクル全体を通して鍵を保護するために、すべてのAUA / KUAによって実行されます。アクティビティは鍵管理の次のような側面に対応します。
a) 鍵の生成
b) 鍵の配布
c) 安全な鍵の保管
d) デュアルコントロールのための鍵の管理者と要件
e) 鍵の不正置換の防止
f) 侵害された、または侵害が疑われる鍵の交換
g) 鍵の失効、鍵管理関連アクティビティのロギング・監査
2.10 運用セキュリティ
12. AUA/KUAは、将来の調査とアクセス制御の監視をサポートするため、重要なユーザーアクティビティ、例外、セキュリティイベントを記録するイベントログを有効にし保存します。
13. 情報システムの不正使用に備え、監査ログの定期的な監視が行われ、結果が記録されます。承認された担当者のみが監査証跡とイベントログにアクセスできます
次のガイダンスは大要内の「Circular 11020/205/2017」から抜粋したものです。
アーダール番号を保存する上でのセキュリティレベルを強化するために、2016年アーダール法に基づき、特定の目的でアーダール番号を収集・保存するすべてのAUA/KUA/サブAUAおよびその他のエンティティは、すべてのシステムにおいて、トークン化を通してアーダール番号にマッピングされた参照鍵を使用することが義務付けられています。
(a) すべてのエンティティは、アーダール番号と、紐付けられているアーダールデータ(アーダール番号とデータを含むeKYC XMLなど)を、別の安全なデータベース/ボルト/システムに強制的に保存するように指示されます。このシステムは「アーダールデータボルト」と呼ばれ、アーダール番号と、紐付けられているアーダールデータは唯一この場所に保存されます。
(c) 各アーダール番号は、参照鍵と呼ばれる追加の鍵によって参照されます。参照鍵とアーダール番号のマッピングは、アーダールデータボルト内で維持されます。
(d) エンティティのあらゆるビジネスユースケースにおいて、参照鍵を保存/マッピングする必要があるすべてのシステム内では、アーダール番号の代わりに参照鍵を使用するものとします。つまり、ビジネストランザクションのためにアーダール番号の保存を必要とするすべてのテーブル/システムは、今後、参照鍵のみを維持する必要があります。実際のアーダール番号は、アーダールボルト以外のビジネスデータベースに保存しないでください。
次のガイダンスも大要内の「Circular 11020/205/2017」から抜粋したものです。
(f) アーダールデータボルトに保存されたアーダール番号および紐付けられているデータは常に暗号化された状態に保たれ、厳格なアクセス制御により、承認されたシステムに対してのみデータへのアクセスを許可します。暗号化用の鍵は、HSMデバイス内にのみ保存されます。
タレスのe-Securityは次の方法によって、UIDAIのアーダール番号規制のさまざまな要件に準拠できるようサポートします。
タレスのアクセス管理および認証ソリューションは、データセキュリティ規制に準拠するために組織が必要とするセキュリティメカニズムとレポート機能の両方を提供します。当社ソリューションは、機密データが保存されたアプリケーションにユーザーがログインするときに適切なアクセス制御を適用することにより機密データを保護します。また、幅広い認証方法とポリシー主導の役割ベースのアクセスをサポートすることで、資格情報の侵害や盗難、または内部での資格情報の悪用によるデータ侵害のリスクを軽減します。
スマートシングルサインオンとステップアップ認証のサポートにより組織はエンドユーザーの利便性を最適化し、必要な場合にのみ認証を行うことができます。また、広範なレポートによりすべてのアクセスおよび認証イベントの詳細な監査証跡を作成できるため、企業はさまざまな規制への準拠が可能になります。
タレスのCipherTrust データセキュリティ プラットフォームは、さまざまなOSプラットフォーム、データベース、クラウド環境、ビッグデータ環境において、企業の多様な要件の下で保存データを保護できるよう拡張可能な単一フレームワークを提供する唯一のデータ侵害セキュリティソリューションです。これにより総所有コストが削減され、シンプルかつ効率的な展開と運用が可能になります。
タレスの高速暗号化プログラム(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3、4)を実行し、サイト間、またはオンプレミスからクラウドへの安全なデータの移動を保証します。当社のHSEソリューションを使用することで、パフォーマンスを低下させることなく手頃なコストで、データ、ビデオ、音声、メタデータを盗聴や監視、また明白且つ秘密裡の傍受からより適切に保護できます。
タレスのLuna HSMは安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。3種類のFIPS 140-2認定フォームファクタで利用可能なLuna HSMは、さまざまな展開シナリオをサポートします。
さらにLuna HSMは次の機能を発揮します。
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。