Cifrado en Identity360

¿Qué es el cifrado?

El cifrado es el proceso de proteger los datos convirtiéndolos en un formato que sólo puede entender un público específico. Durante este proceso, el texto plano se convierte en texto cifrado no legible mediante algoritmos de cifrado especializados. Las claves de cifrado se utilizan para codificar y descodificar este texto. Estas claves son únicas y sólo están disponibles para las partes autorizadas, lo que evita la pérdida de datos debido a violaciones de seguridad.

El cifrado de datos puede basarse en dos estados comunes de los datos:

• Cifrado en tránsito: Los datos enviados del emisor al receptor se cifran durante el tránsito mediante el protocolo de seguridad de la capa de transporte (TLS), lo que impide los ataques man-in-the-middle. El receptor es el único que tiene la clave para descifrar los datos. En Identity360, la comunicación con los directorios integrados se realiza a través de HTTPS.
• Cifrado en reposo: Aunque el cifrado en tránsito es necesario, se requiere una capa adicional de defensa, ya que cerca del 90% de los datos actuales están almacenados y latentes. A los atacantes les resulta más valioso hackear los datos almacenados, por lo que el cifrado en reposo es fundamental.

¿Por qué se deben cifrar los datos?

•  

  Seguridad

  El cifrado evita las filtraciones de datos en reposo y en tránsito. En tránsito, el cifrado garantiza la transferencia segura de información sensible mediante TLS, lo que impide los ataques man-in-the-middle. En caso de pérdida o robo de un dispositivo, si los datos almacenados están cifrados, son inaccesibles incluso en manos de los atacantes.

•  

  Privacidad

  La mayor parte de la transmisión de datos se realiza a través de correos electrónicos y chats. El cifrado garantiza que los datos transferidos sólo puedan ser leídos por el receptor y el remitente. Así se evita que ciberdelincuentes, proveedores de servicios de Internet y otros accedan a datos sensibles.

•  

  Autenticidad

  Los sitios web a los que se expide un certificado SSL son confiables para el intercambio de datos confidenciales.

•  

  Regulaciones

  Las regulaciones como HIPAA, PCI DSS y GDPR exigen que las empresas que manejan información de clientes mantengan esos datos cifrados.

Cifrado en reposo en Identity360

Los datos como los tokens de directorio y las propiedades de directorio se cifran en reposo en Identity360 mediante el algoritmo AES-256. Este algoritmo tiene una longitud de clave de 256 bits, admite el mayor tamaño de bits y es prácticamente indescifrable por fuerza bruta con la potencia de procesamiento actual, lo que lo convierte en el estándar de cifrado más seguro. Identity360 cifra los datos utilizando el modo de cifrado por bloques de AES.

Puede recuperar los datos cifrados a través de las claves. La clave que se usa para convertir los datos de texto plano en texto cifrado se denomina clave de cifrado de datos (DEK). Adicionalmente, la DEK se cifra mediante la clave de cifrado (KEK), lo que añade otra capa de seguridad.

Los datos en Identity360 tienen tres capas de protección:

• Los datos cifrados (texto cifrado) se almacenan en la base de datos de Identity360.
• Las DEK cifradas se almacenan en el sistema de gestión de claves (KMS).
• Las KEK cifradas se almacenan en los servidores de gestión de identidades y accesos.

Dado que la recuperación de datos pasa por tres niveles de seguridad, la transmisión de datos en Identity360 es considerablemente más segura.

¿Cómo se cifran sus datos en Identity360?

1. A partir de los metadatos, Identity360 determina si debe cifrar el campo antes de almacenarlo en la base de datos.
2. Identity360 busca DEK que coincidan en la memoria caché. Si no se encuentra ninguna DEK que coincida, Identity360 solicita una DEK al KMS.
3. El KMS busca en su base de datos una DEK cifrada que coincida.
   • Si se encuentra una DEK cifrada que coincida, el KMS descifra la DEK cifrada y la devuelve a Identity360.
   • Si no se encuentra una DEK que coincida, el KMS genera una DEK. Esta nueva DEK se cifra con KEK y se almacena en los servidores del KMS.
4. dentity360 recibe la DEK y, a continuación, cifra/descifra los datos mediante el cifrado AES de 256 bits.
5. Los datos cifrados se almacenan en la base de datos de Identity360. Los datos respaldados que se almacenan en la base de datos de respaldo también se cifran.

Cifrado de URL

Los enlaces de invitación enviados a los usuarios por correo electrónico pueden contener datos confidenciales en las URL. Para proteger esta comunicación, se cifra cualquier parte de la URL que sea identificable.

Obtenga más información sobre el cifrado y nuestro KMS.