您当前的位置:   首页 > 信息安全合规性
印度:UIDAI的Aadhaar数字法规合规性要求
发布时间:2019-07-29 13:46:00   阅读次数:

印度:UIDAI的Aadhaar数字法规合规性(图1)

UIDAIAadhaar数字法规合规性

印度唯一身份识别机构(UIDAI)是根据印度2016年Aadhaar法案的规定成立的。UIDAI负责发行称为Aadhaar的唯一识别号码(UID),并向印度所有居民提供Aadhaar卡。在UIDAI验证登记者的人口统计和生物特征信息的唯一性之后,生成12位UID; UIDAI必须保护个人的身份信息和身份验证记录。


揽阁信息可以帮助您的组织遵守Aadhaar所需的许多法规和要求。


以下标准摘自UIADAI 2018年4月30日的“UIDAI信息安全政策 - UIDAI外部生态系统 - 认证用户机构/ KYC用户机构”部分更新其规则,通函和指南(认证用户机构(AUA)/ E-KYC用户代理(KUA),认证服务机构(ASA)和生物识别设备提供商)[概要]:


用户访问控制

2.6访问控制 

1.只有授权个人才能访问处理UIDAI信息的信息设施(如认证应用程序,审计日志,认证服务器,应用程序,源代码,信息安全基础设施等)。


静态和动态数据加密

2.8密码学 

1.包含居民人口统计/生物特征数据的个人身份数据(PID)块应根据UIDAI在用于认证的终点设备(例如PoT终端)指定的最新API文档进行加密


加密密钥管理

2.8密码学 

6.密钥管理活动应由所有AUA / KUA执行,以在密钥的整个生命周期内保护密钥。活动应涉及密钥管理的以下方面,包括:

  • a)密钥生成;

  • b)密钥分配;

  • c)安全密钥存储;

  • d)关键保管人和双重控制的要求;

  • e)防止未经授权替换密钥;

  • f)更换已知或可疑的受损密钥;

  • g)关键管理相关活动的关键撤销,记录和审计。


数据库访问日志记录

2.10运行安全 

12. AUA / KUA应确保记录关键用户活动,例外和安全事件的事件日志应被启用和存储,以协助今后的调查和访问控制监控;

13.对于任何可能未经授权使用信息系统的情况,应定期监测审核日志,并记录结果。只能向授权人员提供对审计跟踪和事件日志的访问


Aadhaar数字的标记化

本指南来自概要的11020/205/2017号通函:

为了提高存储Aadhaar号码的安全级别,已经规定所有AUA / KUA / Sub-AUA以及根据2016年Aadhaar法案为特定目的收集和存储Aadhaar号码的其他实体应开始使用参考在所有系统中通过标记化映射到Aadhaar数字的键。


  • (a)所有实体都被指示在一个单独的安全数据库/金库/系统上强制存储Aadhaar Numbers和任何连接的Aadhaar数据(例如包含Aadhaar编号和数据的eKYC XML)。该系统将被称为“Aadhaar Data Vault”,并且将是唯一存储Aadhaar Number和任何连接的Aadhaar数据的地方。

  • (c)每个Aadhaar号码将被称为参考密钥的附加密钥引用。Aadhaar数据库中将保留参考密钥和Aadhaar编号的映射。

  • (d)实体的所有业务用例应在所有需要存储/映射此类参考密钥的系统中使用此参考密钥而不是Aadhaar编号,即所有需要为其业务交易存储Aadhaar编号的表/系统应从现在开始以后只保留参考密钥。实际的Aadhaar号码不应存储在Aadhaar保险库以外的任何商业数据库中。


为更好的服务中国客户走出国门,揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通,获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息是您的信息安全首选专家!


相关阅读

购买咨询电话
021-54410609