发布日期:2024-12-06 浏览次数:
印度唯一身份识别机构 (UIDAI) 是根据印度 2016 年Aadhaar 法案的规定成立的。UIDAI 负责发放唯一身份识别号码 (UID),称为 Aadhaar,并向印度所有居民提供 Aadhaar 卡。UIDAI 在验证登记者的人口统计和生物特征信息的唯一性后生成 12 位 UID;UIDAI 必须保护个人的身份信息和身份验证记录。
Thales可以帮助您的组织遵守 Aadhaar 所需的许多法规和要求。
以下标准摘录自 UIADAI 于 2018 年 4 月 30 日更新的《身份验证用户机构 [AUA]/E-KYC 用户机构[KUA]、身份验证服务机构 [ASA] 和生物识别设备提供商法规、通函和指南汇编》[汇编]中的“UIDAI 信息安全政策 - UIDAI 外部生态系统 - 身份验证用户机构/KYC 用户机构”部分:
用户访问控制
2.6 访问控制
1.只有授权个人才可以访问处理UIDAI信息的信息设施(如身份验证应用程序、审计日志、身份验证服务器、应用程序、源代码、信息安全基础设施等)
静态和动态数据加密
2.8 加密
1. 个人身份数据 (PID) 块由居民的人口统计/生物特征数据组成,应按照 UIDAI 指定的最新 API 文档在用于身份验证的终端设备(例如 PoT 终端)上进行加密
2. PID 在 AUA / KUA 生态系统内传输和流动期间以及与 ASA 共享此信息时应进行加密
加密密钥管理
2.8 密码学
6. 所有 AUA/KUA 应执行密钥管理活动,以在密钥的整个生命周期内保护密钥。这些活动应涉及密钥管理的以下方面,包括:
a) 密钥生成;
b) 密钥分配;
c) 安全密钥存储;
d) 关键保管人和双重控制的要求;
e) 防止未经授权的密钥替换;
f) 更换已知或疑似泄露的密钥;
g) 密钥撤销以及密钥管理相关活动的记录和审计。
数据库访问日志
2.10 操作安全
12. AUA/KUA 应确保启用并存储记录关键用户活动、异常和安全事件的事件日志,以协助未来调查和访问控制监控;
13. 应定期监控审计日志,以发现任何可能未经授权使用信息系统的情况,并记录结果。仅授权人员才可访问审计跟踪和事件日志
Aadhaar 号码令牌化(Tokenization)
本指南摘自《概要》中的“通函 11020/205/2017” :
为了提高存储 Aadhaar 号码的安全级别,《2016 年 Aadhaar 法案》规定,所有 AUA/KUA/Sub-AUA 及其他根据特定目的收集和存储 Aadhaar 号码的实体,均应开始在所有系统中通过Tokenization使用映射到 Aadhaar 号码的参考密钥。
(a) 所有实体必须将 Aadhaar 号码和任何相关的 Aadhaar 数据(例如包含 Aadhaar 号码和数据的 eKYC XML)存储在单独的安全数据库/保险库/系统中。该系统将被称为“Aadhaar 数据库”,并且是存储 Aadhaar 号码和任何相关的 Aadhaar 数据的唯一位置。
(c)每个 Aadhaar 号码都将被一个称为“参考密钥”的附加密钥引用。参考密钥和 Aadhaar 号码的映射将在 Aadhaar 数据库中维护。
(d) 实体的所有业务用例应在所有需要存储/映射此参考密钥的系统中使用此参考密钥,而不是 Aadhaar 号码,即从现在起,所有需要存储 Aadhaar 号码以进行业务交易的表格/系统都应仅保留参考密钥。实际 Aadhaar 号码不应存储在 Aadhaar 保险库以外的任何业务数据库中。
使用 FIPS 140-2 认证的 HSM 进行加密密钥保护
《概要》中的 11020/205/2017 号通函也提到:
(f) Aadhaar 号码和 Aadhaar 数据库中保存的任何相关数据应始终保持加密,并且只有授权系统才能对其进行严格控制。加密密钥只能存储在 HSM 设备中。
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
