Conformidade com o Regulamento do Número Aadhaar da UIDAI

As seguintes normas foram extraídas da seção "Política de Segurança da Informação UIDAI - Ecossistema Externo UIDAI - seção Agência de Autenticação do Usuário/Agência do Usuário KYC" da atualização de 30 de abril de 2018 do Compêndio de Regulamentos, Circulares e Diretrizes para (Agência de Autenticação do usuário [AUA]/Agência de Autenticação E-KYC [KUA], Agência de Serviço de Autenticação [ASA] e Provedora de Dispositivo Biométrico) [The Compendium]:

Controle de acesso do usuário

2.6 Controle de acesso
1. Somente pessoas autorizadas deverão ter acesso a recursos de informação (como aplicativo de autenticação, registros de auditoria, servidores de autenticação, aplicativo, código fonte, infraestrutura de segurança da informação etc.) que processam informações UIDAI

Criptografia de dados em repouso e em movimento

2.8 Criptografia
1. O bloco de Dados de Identidade Pessoal (PID) composto pelos dados demográficos/biométricos do residente deve ser criptografado conforme os últimos documentos API especificados pela UIDAI no dispositivo de ponto final utilizado para autenticação (por exemplo, terminal PoT)

2. O PID será criptografado durante o trânsito e o fluxo dentro de ecossistema AUA/KUA e quando essas informações forem compartilhadas com ASAs

Gerenciamento de chaves de criptografia

2.8 Criptografia
6. As atividades de gerenciamento de chaves devem ser realizadas por todos as AUAs/KUAs para proteger as chaves durante todo o seu ciclo de vida. As atividades devem abordar os seguintes aspectos do gerenciamento de chaves, incluindo;

a) geração de chaves;

b) distribuição de chaves;

c) armazenamento seguro de chaves;

d) responsáveis por chaves e requisitos para controle duplo;

e) prevenção de substituição não autorizada de chaves;

f) substituição de chaves conhecidas ou suspeitas de estarem comprometidas;

g) revogação de chaves, registro e auditoria de atividades relacionadas ao gerenciamento de chaves.

Registro de acesso ao banco de dados

2.10 Segurança de operações
12. As AUAs/KUAs devem assegurar que os registros de eventos registrando as atividades críticas do usuário, exceções e eventos de segurança sejam habilitados e armazenados para auxiliar em investigações futuras e monitoramento do controle de acesso;

13. O monitoramento regular de registros de auditoria deve ocorrer para qualquer possível uso não autorizado de sistemas de informação e os resultados devem ser registrados. O acesso a trilhas de auditoria e aos registros de eventos deve ser fornecido somente ao pessoal autorizado

Tokenização de números Aadhaar

Esta orientação é da "Circular 11020/205/2017" do The Compendium:

A fim de aumentar o nível de segurança para o armazenamento dos números Aadhaar, é obrigatório que toda as AUAs/KUAs/Sub-AUAs e outras entidades que estão coletando e armazenando o número Aadhaar para fins específicos sob a Lei Aadhaar 2016, deverão começar a usar Chaves de Referência mapeadas para números Aadhaar através da tokenização em todos os sistemas.

(a) Todas as entidades são obrigadas a armazenar Números Aadhaar e quaisquer dados Aadhaar (por exemplo, eKYC XML contendo número Aadhaar e dados) em um banco de dados/vault/sistema seguro separado. Este sistema é denominado "Aadhaar Data Vault" e será o único lugar onde o Número Aadhaar e quaisquer dados Aadhaar serão armazenados.

(c) Cada número Aadhaar deve ser referido por uma chave adicional chamada de Chave de Referência. O mapeamento da chave de referência e do número Aadhaar deve ser mantido no Vault de Dados Aadhaar.

(d) Todos os casos de uso comercial de entidades devem usar esta Chave de Referência em vez do número Aadhaar em todos os sistemas onde tal chave de referência precise ser armazenada/mapeada, ou seja, todas as tabelas/sistemas que requerem armazenamento de números Aadhaar para suas transações comerciais devem a partir de agora manter apenas a chave de referência. O número Aadhaar real não deve ser armazenado em nenhum banco de dados comercial que não seja o vault Aadhaar.

Uso de HSMs com certificação FIPS 140-2 para proteção de chaves criptográficas

Também da Circular 11020/205/2017 do The Compendium:

(f) O número Aadhaar e quaisquer dados relacionados mantidos no Vault de Dados Aadhaar devem ser sempre mantidos criptografados e o acesso a eles deve ser estritamente controlado apenas para sistemas autorizados. As chaves para criptografia devem ser armazenadas apenas em dispositivos HSM.

Resumo da conformidade

A Thales e-Security pode ajudar a cumprir muitos dos requisitos do Regulamento de Número Aadhar da UIDAI com:

Forte gerenciamento de acesso e autenticação

As soluções de gerenciamento de acesso e autenticação da Thales fornecem tanto os mecanismos de segurança quanto os recursos de relatórios que as empresas precisam para cumprir com as leis de segurança de dados. Nossas soluções protegem dados confidenciais aplicando os controles de acesso apropriados quando os usuários fazem login em aplicativos que armazenam dados confidenciais. Utilizando diversos métodos de autenticação e acesso baseados em políticas, nossas soluções ajudam as empresas a mitigar o risco de violação de dados devido a credenciais comprometidas ou roubadas ou através de abuso de credenciais privilegiadas.

O suporte para logon único inteligente e autenticação avançada permite que as organizações otimizem a conveniência para os usuários finais, garantindo que eles só precisem se autenticar quando necessário. Relatórios abrangentes permitem às empresas criar um registro de auditoria detalhado de todos os eventos de acesso e autenticação, garantindo que eles possam se mostrar em conformidade com diversas regulamentações.

CipherTrust Data Security Platform

A CipherTrust Data Security Platform é a única solução com uma única estrutura dimensionável para proteger dados em repouso de acordo com as diversas exigências das empresas através da mais ampla gama de plataformas de sistemas operacionais, bancos de dados, ambientes em nuvem e implementações de big data. O resultado é um baixo custo total de propriedade, bem como implantação e operação simples e eficientes.

• A CipherTrust Transparent Encryption fornece criptografia de dados em repouso de arquivos e em volume, gerenciamento seguro de chaves e controles de acesso exigidos por leis de regulamentação e conformidade.
• A CipherTrust Key Management permite o gerenciamento centralizado de chaves de criptografia para outros ambientes e dispositivos, incluindo hardware compatível com KMIP, chaves mestras TDE Oracle e SQL Server e certificados digitais.
• A CipherTrust Data Security Intelligence oferece um nível superior de proteção contra ataques de criminosos internos, usuários privilegiados, APTs e outros que comprometem os dados ao fornecer as informações do padrão de acesso que podem identificar um incidente em andamento.
• A CipherTrust Application Data Protection permite que as agências criem facilmente capacidades de criptografia em aplicativos internos em nível de campo e de coluna.
• O CipherTrust Tokenization reduz drasticamente o custo e o esforço necessários para cumprir as políticas de segurança e leis como a Aadhaar. A solução oferece recursos de tokenização de banco de dados e segurança de exibição dinâmica. Ela permite que administradores estabeleçam políticas para devolver um token de campo inteiro ou mascarar dinamicamente partes de um campo. Com os recursos de tokenização com preservação de formato da solução, é possível restringir o acesso a ativos confidenciais e, ao mesmo tempo, formatar os dados protegidos de uma maneira que permita que muitos usuários façam seus trabalhos.

High Speed Encryptors da Thales

Os High Speed Encryptors (HSEs) da Thales fornecem criptografia de dados em movimento independente da rede (camadas 2, 3 e 4) garantindo a segurança dos dados à medida que eles se movem de local para local, ou de local para a nuvem e vice-versa. Nossas soluções HSE permitem que nossos clientes possam proteger melhor dados, vídeos, gravações de voz e metadados contra escuta, vigilância e interceptação aberta e encoberta - tudo a um custo acessível e sem comprometer o desempenho.

HSMs Luna com certificação FIPS 140-2 para proteção de chaves criptográficas

Os HSMs Luna da Thales oferecem um ambiente fortalecido e resistente à violação para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais. Disponíveis em três fatores de forma com certificação FIPS 140-2, os HSMs Luna suportam diversos cenários de implantação.

Além disso, os HSMs Luna:

• Geram e protegem chaves mestras e de autoridade certificadora (AC), fornecendo suporte para PKIs em diversos casos de uso
• Assinam a criptografia de seu aplicativo para garantir que seu software permaneça seguro, inalterado e autêntico
• Geram certificados digitais para credenciamento e autenticação de dispositivos eletrônicos proprietários para aplicativos IoT e outras implantações de rede.