인도의 UIDAI(Unique Identification Authority of India)는 인도의 2016 Aadhaar법 조항에 따라 설립되었습니다. UIDAI는 Aadhaar1라는 고유 식별 번호(UID)를 발급하고 모든 인도 거주자에게 Aadhaar 카드를 제공합니다. 12자리로 구성된 UID는 UIDAI에서 등록자의 인구 통계·생체 정보의 고유성을 확인한 후에 생성되며, UIDAI는 개인 신원 정보와 인증 기록을 보호해야 합니다.
탈레스는 조직이 많은 Aadhaar 필수 규정과 지침을 준수하도록 지원합니다.
다음 표준은 UIADAI의 (인증 사용자 기관[AUA]/E-KYC 사용자 기관[KUA], 인증 서비스 기관[ASA] 및 생체 인식 장치 제공 업체)에 대한 규정, 회람 및 지침 개요의 2018년 4월 30일 개정안인 ‘UIDAI 정보 보안 정책 – UIDAI 외부 생태계 – 인증 사용자 기관/KYC 사용자 기관' 항목에서 발췌한 것입니다. [개요]는 다음과 같습니다.
2.6 액세스 제어
1. UIDAI 정보를 처리하는 정보 시설(인증 애플리케이션, 감사 로그, 인증 서버, 애플리케이션, 소스 코드, 정보 보안 인프라 등)에 대한 액세스 권한은 인가받은 개인에게만 부여합니다.
저장 데이터 및 이동 데이터 암호화
2.8 암호화
1. 주민의 인구 통계/생체 데이터로 구성된 개인 신원 데이터(PID) 블록은 인증에 사용되는 단말 장치(예: PoT 단말기)에서 UIDAI가 지정한 최신 API 문서에 따라 암호화해야 합니다.
2. PID가 AUA/KUA 생태계 내에서 전송·이동하는 중에, ASA와 공유하는 중에 암호화해야 합니다.
암호키 관리
2.8 암호화
6. 모든 AUA/KUA는 키 관리 활동을 시행하여 수명주기 동안 키를 보호해야 하며, 이는 다음과 같은 키 관리 조치를 포함해야 합니다.
a) 키 생성
b) 키 배포
c) 보안 키 저장소
d) 이중 통제를 위한 주요 관리인 및 요건
e) 키의 무단 대체 방지
f) 손상이 알려지거나 의심되는 키 교체
g) 키 폐기 및 관련 키 관리 활동의 로그 및 감사
2.10 운영 보안
12. AUA/KUA는 중요한 사용자 활동, 예외·보안 이벤트를 기록하는 이벤트 로그를 활성화하고 저장하여 향후 조사와 액세스 제어 모니터링을 지원해야 합니다.
13. 정보 시스템의 무단 사용 가능성에 대한 감사 로그를 정기적으로 모니터링하고 결과를 기록해야 합니다. 감사 기록·이벤트 로그에 대한 액세스는 승인받은 직원에게만 부여해야 합니다.
이 지침은 개요의 ‘회람 11020/205/2017’에서 발췌한 것입니다.
Aadhaar 번호 저장 보안 수준을 향상할 수 있도록 2016년 Aadhaar법에 따라 특정 목적을 위해 Aadhaar 번호를 수집하고 저장하는 모든 AUA/KUA/하위 AUA 및 기타 주체는 모든 시스템에서의 토큰화를 통해 Aadhaar 번호에 매핑된 참조키를 사용하기 시작해야 합니다.
(a) 모든 주체는 Aadhaar 번호, 연결된 모든 Aadhaar 데이터(예: Aadhaar 번호 및 데이터를 포함하는 eKYC XML)를 별도의 보안 데이터베이스/볼트/시스템에 의무적으로 저장하도록 요구받습니다. 이 시스템은 ‘Aadhaar 데이터 볼트’라고 불리며 Aadhaar 번호, 연결된 모든 Aadhaar 데이터가 저장되는 유일한 위치입니다.
(c) 각 Aadhaar 번호는 참조키라는 별도의 키로 참조됩니다. 참조키와 Aadhaar 번호의 매핑은 Aadhaar 데이터 볼트에 유지 보관됩니다.
(d) 주체의 모든 비즈니스 사용 사례에는 이러한 참조키를 저장/매핑해야 하는 모든 시스템에서 Aadhaar 번호 대신 이 참조키를 사용해야 합니다. 즉, 비즈니스 거래 목적으로 Aadhaar 번호를 저장해야 하는 모든 테이블/시스템은 지금부터 참조키만 유지 보관할 수 있습니다. 실제 Aadhaar 번호는 Aadhaar 볼트 이외의 비즈니스 데이터베이스에 저장할 수 없습니다.
개요의 회람 11020/205/2017에서 추가 발췌한 내용은 다음과 같습니다.
(f) Aadhaar 데이터 볼트에서 유지 보관하는 Aadhaar 번호 및 모든 연결 데이터는 항상 암호화된 상태로 유지하며, 액세스를 엄격하게 제어하여 승인받은 시스템에서만 액세스하도록 합니다. 암호키는 HSM 장치에만 저장합니다.
탈레스 전자 보안 솔루션은 UIDAI의 Aadhar 번호 규정 요건을 충족할 수 있도록 다음과 같이 지원합니다.
탈레스가 제공하는 액세스 관리 및 인증 솔루션은 조직이 데이터 보안 규정을 준수하는 데 필요한 보안 메커니즘과 보고 기능을 모두 제공합니다. 사용자가 민감한 데이터를 저장하는 애플리케이션에 로그인할 때 적절한 접근 제어를 시행하여 민감한 데이터를 보호하는 솔루션입니다. 광범위한 인증 방법, 정책 및 역할 기반 액세스를 지원하는 탈레스 솔루션은 기업이 자격 증명의 손상이나 도난, 내부자의 자격 증명 남용으로 인한 데이터 유출 위험을 완화하도록 지원합니다.
스마트 SSO(싱글 사인 온) 및 단계별 인증 지원을 통해 기업이 최종 사용자의 편의를 최적화하여 필요할 때만 인증하도록 할 수 있습니다. 광범위한 보고를 통해 모든 액세스 및 인증 이벤트에 자세한 감사 이력을 생성하여 광범위한 규제 준수를 입증할 수 있습니다.
탈레스의 CipherTrust 데이터 보안 플랫폼은 광범위한 OS 플랫폼, 데이터베이스, 클라우드 환경, 빅데이터 구현 전반에 걸쳐 기업의 다양한 요구에 따라 확장 가능한 단일 프레임워크를 제공하여 저장 데이터 보안을 지원하는 유일한 솔루션입니다. 그 결과, 총 소유 비용이 낮을 뿐만 아니라 간단하고 효율적인 배포와 운영이 가능합니다.
탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(2~4개 계층)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 고객은 성능 저하 없이 합리적인 비용으로 탈레스의 HSE 솔루션을 이용할 수 있으며, 이 솔루션으로 데이터, 동영상, 음성 및 메타데이터를 도청이나 감시, 명백하거나 은밀한 가로채기로부터 효과적으로 보호할 수 있습니다.
탈레스의 Luna HSM은 강화된 변조 방지 환경으로 안전한 암호화 처리, 키 생성 및 보호, 암호화 등을 제공합니다. 세 가지 FIPS 140-2 인증 폼팩터로 이용 가능한 Luna HSM은 다양한 배포 시나리오를 지원합니다.
또한 Luna HSM는,
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.