Política de cifrado para Rask AI

Brask Inc

Propósito

Esta política define los requisitos organizativos para el uso de controles criptográficos, así como los requisitos para las claves criptográficas, con el fin de proteger la confidencialidad, integridad, autenticidad y no repudio de la información.

Alcance

Esta política se aplica a todos los sistemas, equipos, instalaciones e información dentro del ámbito de aplicación de

Rask Programa de seguridad de la información de AI. Todos los empleados, contratistas, trabajadores a tiempo parcial y temporales, proveedores de servicios y aquellos contratados por terceros para realizar trabajos en nombre de la organización que tengan que ver con sistemas criptográficos, algoritmos o material de claves están sujetos a esta política y deben cumplirla.

Fondo

Esta política define los objetivos de alto nivel y las instrucciones de aplicación para el uso de algoritmos y claves criptográficos por parte de Rask AI. Es vital que la organización adopte un enfoque estándar para los controles criptográficos en todos los centros de trabajo con el fin de garantizar la seguridad de extremo a extremo, al tiempo que se promueve la interoperabilidad. Este documento define los algoritmos específicos aprobados para su uso, los requisitos para la gestión y protección de claves y los requisitos para el uso de criptografía en entornos de nube.

Funciones y responsabilidades

El Departamento de Infraestructura de Brask ML mantiene y actualiza esta política. El CEO y el departamento legal aprueban esta política y cualquier cambio.

Política

Controles criptográficos

Rask AI protege los sistemas individuales y la información mediante controles criptográficos, como se indica a continuación:

Derecho aplicable

El cifrado aprobado por la organización debe cumplir las leyes locales e internacionales pertinentes, incluidas las restricciones a la importación y exportación. El cifrado utilizado por Rask AI cumple las normas internacionales y los requisitos estadounidenses, lo que permite su uso internacional.

Gestión de claves

Las llaves deben ser gestionadas por sus propietarios y protegidas contra pérdida, cambio o destrucción. Es obligatorio un control de acceso adecuado y copias de seguridad periódicas.

Servicio de gestión de claves

Toda la gestión de claves debe realizarse mediante un software que gestione automáticamente la generación de claves, el control de acceso, el almacenamiento seguro, la copia de seguridad y la rotación de claves. Específicamente:

  • El servicio de gestión de claves debe proporcionar acceso a las claves a usuarios específicamente designados, con capacidad para cifrar/descifrar información y generar claves de cifrado de datos.
  • El servicio de gestión de claves debe proporcionar acceso a la administración de claves a usuarios específicamente designados, con capacidad para crear, programar la eliminación, activar/desactivar la rotación y establecer políticas de uso para las claves.
  • El servicio de gestión de claves debe almacenar y realizar copias de seguridad de las claves durante toda su vida operativa.
  • El servicio de gestión de llaves debe rotar las llaves al menos una vez cada 12 meses.

Clave secreta

Las claves secretas (simétricas) deben distribuirse de forma segura y protegerse en reposo con estrictas medidas de seguridad.

Clave pública

La criptografía de clave pública utiliza pares de claves pública y privada. La clave pública se incluye en un certificado digital emitido por una autoridad de certificación, mientras que la clave privada permanece en poder del usuario final.

Otra clave pública

  • Si las claves se generan en software, los usuarios deben crear al menos una copia de seguridad segura.
  • Los usuarios deben crear una copia de custodia de las claves privadas para el cifrado y entregarla al representante del Equipo de Infraestructura.
  • El Equipo de Infraestructuras no custodia las claves privadas de los certificados de identidad.
  • Todas las copias de seguridad deben estar protegidas con una contraseña o frase de contraseña.