UIDAI的Aadhaar数字法规合规性

印度唯一身份识别机构（UIDAI）是根据印度2016年Aadhaar法案的规定成立的。UIDAI负责发行称为Aadhaar的唯一识别号码（UID），并向印度所有居民提供Aadhaar卡。在UIDAI验证登记者的人口统计和生物特征信息的唯一性之后，生成12位UID; UIDAI必须保护个人的身份信息和身份验证记录。

揽阁信息可以帮助您的组织遵守Aadhaar所需的许多法规和要求。

以下标准摘自UIADAI 2018年4月30日的“UIDAI信息安全政策 - UIDAI外部生态系统 - 认证用户机构/ KYC用户机构”部分更新其规则，通函和指南（认证用户机构（AUA）/ E-KYC用户代理（KUA），认证服务机构（ASA）和生物识别设备提供商）[概要]：

用户访问控制

2.6访问控制 

1.只有授权个人才能访问处理UIDAI信息的信息设施（如认证应用程序，审计日志，认证服务器，应用程序，源代码，信息安全基础设施等）。

静态和动态数据加密

2.8密码学 

1.包含居民人口统计/生物特征数据的个人身份数据（PID）块应根据UIDAI在用于认证的终点设备（例如PoT终端）指定的最新API文档进行加密

加密密钥管理

2.8密码学 

6.密钥管理活动应由所有AUA / KUA执行，以在密钥的整个生命周期内保护密钥。活动应涉及密钥管理的以下方面，包括：

1. 密钥生成;

2. 密钥分配;

3. 安全密钥存储;

4. 密钥保管人和双重控制的要求;

5. 防止未经授权替换密钥;

6. 更换已知或可疑的受损密钥;

7. 密钥管理相关活动的密钥撤销、记录和审计。

数据库访问日志记录

2.10运行安全 

12. AUA / KUA应确保记录关键用户活动、例外和安全事件的事件日志应被启用和存储，以协助今后的调查和访问控制监控;

13.对于任何可能未经授权使用信息系统的情况，应定期监测审核日志，并记录结果。只能向授权人员提供对审计跟踪和事件日志的访问

Aadhaar数字的标记化

本指南来自概要的11020/205/2017号通函：

为了提高存储Aadhaar号码的安全级别，已经规定所有AUA / KUA / Sub-AUA以及根据2016年Aadhaar法案为特定目的收集和存储Aadhaar号码的其他实体应开始使用参考在所有系统中通过标记化映射到Aadhaar数字的键。

• (a)所有实体都被指示在一个单独的安全数据库/金库/系统上强制存储Aadhaar Numbers和任何连接的Aadhaar数据（例如包含Aadhaar编号和数据的eKYC XML）。该系统将被称为“Aadhaar Data Vault”，并且将是唯一存储Aadhaar Number和任何连接的Aadhaar数据的地方。

• (c)每个Aadhaar号码将被称为参考密钥的附加密钥引用。Aadhaar数据库中将保留参考密钥和Aadhaar编号的映射。

• (d)实体的所有业务用例应在所有需要存储/映射此类参考密钥的系统中使用此参考密钥而不是Aadhaar编号，即所有需要为其业务交易存储Aadhaar编号的表/系统应从现在开始以后只保留参考密钥。实际的Aadhaar号码不应存储在Aadhaar保险库以外的任何商业数据库中。

使用 FIPS 140-2 认证的 HSM 进行加密密钥保护

同样来自 The Compendium 的 11020/205/2017 号通告：

• (f) Aadhaar 数据库中维护的 Aadhaar 编号和任何连接数据应始终保持加密状态，并且仅对授权系统的访问进行严格控制。加密密钥只能存储在 HSM 设备中。
  

合规摘要

揽阁信息可以通过以下方式帮助您满足 UIDAI 的 Aadhar 号码规定的许多要求：

强大的访问管理和身份验证

Thales访问管理和身份验证解决方案提供组织需要遵守数据安全法规的安全机制和报告功能。我们的解决方案通过在用户登录存储敏感数据的应用程序时实施适当的访问控制来保护敏感数据。通过支持广泛的身份验证方法和策略驱动的基于角色的访问，我们的解决方案可帮助企业降低因凭据泄露或被盗或内部凭据滥用而导致的数据泄露风险。

支持智能单点登录和递升式身份验证允许组织优化最终用户的便利性，确保他们只需要在需要时进行身份验证。广泛的报告允许企业生成所有访问和身份验证事件的详细审计跟踪，确保他们能够证明符合广泛的法规。

数据发现和分类

保护敏感数据的第一步是在组织中的任何位置找到数据，将其分类为敏感数据，然后键入（例如 PII、财务、IP、HHI、客户机密等），以便您可以应用最合适的数据保护技术。定期监控和评估数据以确保不会忽略新数据并且您的组织不会违反合规性也很重要。

Thales的CipherTrust 数据发现和分类可有效识别本地和云端的结构化和非结构化敏感数据。该解决方案支持无代理和基于代理的部署模型，提供内置模板，可快速识别受监管数据、突出安全风险并帮助您发现合规漏洞。简化的工作流程会暴露安全盲点并减少补救时间。详细的报告支持合规计划并促进高管沟通。

保护静态敏感数据

• 特权访问用户和敏感用户数据的分离

  借助CipherTrust 数据安全平台，管理员可以在特权管理员和数据所有者之间建立强有力的职责分离。CipherTrust 透明加密对文件进行加密，同时保留其元数据。通过这种方式，IT 管理员——包括管理程序、云、存储和服务器管理员——可以执行他们的系统管理任务，而无法获得对驻留在他们管理的系统上的敏感数据的特权访问。

  
  

• 行政职责分离

  可以强制执行严格的职责分离策略，以确保一名管理员无法完全控制数据安全活动、加密密钥或管理。此外，CipherTrust Manager支持用于管理访问的双因素身份验证。

  
  

• 精细的特权访问控制

  CipherTrust 数据安全平台可以实施非常精细的、最低特权用户访问管理策略，从而保护数据免受特权用户的滥用和 APT 攻击。可以按用户、进程、文件类型、一天中的时间和其他参数应用精细的特权用户访问管理策略。实施选项不仅可以控制访问明文数据的权限，还可以控制用户可以使用哪些文件系统命令。

  
  

• 保护动态敏感数据

  Thales High Speed Encryption（HSE）高速网络链路加密机提供独立于网络的动态数据加密（第 2、3 和 4 层），确保数据在从站点到站点或从本地到云端再返回时是安全的。我们的 HSE 解决方案使客户能够更好地保护数据、视频、语音和元数据免遭窃听、监视以及公开和隐蔽的拦截——所有这些都以可承受的成本且不会影响性能。

用于加密密钥保护的 FIPS 140-2 Level 3认证 Luna HSM

Thales 的 Luna HSM 为安全加密处理、密钥生成和保护、加密等提供了一个坚固、防篡改的环境。Luna HSM 提供三种 FIPS 140-2 认证的外形尺寸，支持各种部署方案。

此外，Luna HSM：

• 生成和保护根和证书颁发机构 (CA) 密钥，为各种用例的 PKI 提供支持

• 签署您的应用程序代码，以确保您的软件保持安全、不变和真实

• 为物联网应用程序和其他网络部署的专有电子设备创建数字证书以进行认证和验证。

为更好的服务中国客户走出国门，揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通，获取更多满足合规要求的信息安全产品与解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 了解印度金融实体采用SEBI的云服务框架

• 如何满足印度尼西亚个人数据保护 (PDP) 法的要求

• 印度尼西亚：个人数据保护 (PDP) 法 合规性要求

• 新印度个人数据保护法案 (PDPB) 与 GDPR 的比较

• 分析印度航空遭受的大规模数据泄露事件