Objetivo | Proteger la confidencialidad, autenticidad e integridad de la información en soporte digital. |
Controles | Nivel 1 - CA.3-1: se identifican los datos históricos y respaldos que deben ser protegidos mediante mecanismos seguros.
Nivel 2 - CA.3-2: los respaldos y/o datos históricos fuera de línea se almacenan en forma cifrada.
Nivel 3 - CA.3-3: se documentan los mecanismos criptográficos implementados.
- CA.3-4: está definida una política de uso de controles criptográficos.
- CA.3-5: se determinan los responsables de la generación de las claves que abarca todo su ciclo de vida.
Nivel 4 - CA.3-6: se realizan revisiones periódicas sobre los controles criptográficos utilizados para asegurar la protección de los datos.
- CA.3-7: los resultados de estas revisiones son registrados e informados al RSI.
|
Guía de implementación | La organización debe evaluar la oportunidad de utilizar controles criptográficos, por ejemplo, para proteger la transmisión de información o su resguardo; acceso a las redes o sistemas, a los datos y servicios de información. Es recomendable: - Definir una política o lineamientos sobre el uso de controles criptográficos, la misma debe incluir los lineamientos de protección para la información en tránsito y abarcar los respaldos y datos históricos.
- Determinar en qué casos se utilizarán dichos controles.
- Definir responsables de implementar la política y los controles.
- Determinar los responsables de la generación y gestión de las claves durante su ciclo de vida.
Las claves criptográficas que protegen los tokens de acceso se generan, gestionan y protegen contra la divulgación y el uso indebido. Ejemplos de controles criptográficos: - Cifrado de discos duros o dispositivos móviles.
- Cifrado de respaldos.
- Cifrado de mensajes de correo electrónico (por ejemplo, usando claves PGP).
- Comunicación por medios de canales seguros (por ejemplo, HTTPS, TLS). En particular se debe asegurar todas las transacciones en línea que involucren datos confidenciales o datos personales identificables.
- Establecimiento de VPN para acceso remoto.
|
Instituciones de salud | A nivel de XDS, se puede utilizar el campo HASH, (Hash de los elementos del documento) para que, al recibir el documento se verifique la integridad. Todos los sistemas Web de las instituciones que intercambien o puedan intercambiar información de salud deberán utilizar protocolo HTTPS. Los respaldos de los sistemas que procesen información, y los datos en reposo, relacionados con datos de salud deben estar cifrados. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Política y procedimientos para el uso de criptografía y control criptográfico.
- Registro de revisión y actualización de estos protocolos.
- Listado de sistemas desarrollados por la organización y aquellos que usan firma electrónica avanzada.
- Listado de sistemas que soportan uso de dispositivos criptográficos.
- Mecanismos de validación de firmas y de certificados electrónicos.
- Soluciones utilizadas para la firma de transacciones.
|
Normativa asociada | No aplica |