Rask AI에 대한 암호화 정책

Brask Inc

목적

이 정책은 정보의 기밀성, 무결성, 신뢰성 및 부인 방지 기능을 보호하기 위해 암호화 제어 사용에 대한 조직의 요구 사항과 암호화 키에 대한 요구 사항을 정의합니다.

범위

이 정책은 다음 범위 내의 모든 시스템, 장비, 시설 및 정보에 적용됩니다.

Rask AI 정보 보안 프로그램. 모든 직원, 계약자, 파트타임 및 임시직 근로자, 서비스 제공업체, 그리고 암호화 시스템, 알고리즘 또는 키 자료와 관련된 조직을 대신하여 업무를 수행하도록 다른 사람에게 고용된 사람은 이 정책의 적용을 받으며 이를 준수해야 합니다.

배경

이 정책은 Rask AI의 암호화 알고리즘 및 키 사용에 대한 높은 수준의 목표와 구현 지침을 정의합니다. 엔드투엔드 보안을 보장하는 동시에 상호 운용성을 촉진하기 위해서는 모든 업무 센터에서 암호화 제어에 대한 표준 접근 방식을 채택하는 것이 중요합니다. 이 문서에서는 사용이 승인된 특정 알고리즘, 키 관리 및 보호 요구 사항, 클라우드 환경에서 암호화를 사용하기 위한 요구 사항을 정의합니다.

역할과 책임

Brask ML 인프라 부서는 이 정책을 유지 관리하고 업데이트합니다. CEO와 법무 부서는 이 정책과 모든 변경 사항을 승인합니다.

정책

암호화 제어

Rask AI는 아래에 설명된 대로 암호화 제어를 사용하여 개별 시스템과 정보를 보호합니다:

준거법

조직에서 승인한 암호화는 수입/수출 제한을 포함한 관련 현지 및 국제법을 준수해야 합니다. Rask AI에서 사용하는 암호화는 국제 표준 및 미국 요구 사항을 충족하므로 국제적으로 사용할 수 있습니다.

키 관리

키는 소유자가 관리해야 하며 분실, 변경 또는 파기되지 않도록 보호해야 합니다. 적절한 액세스 제어와 정기적인 백업은 필수입니다.

키 관리 서비스

모든 키 관리는 키 생성, 액세스 제어, 보안 저장, 백업 및 키 교체를 자동으로 관리하는 소프트웨어를 사용하여 수행해야 합니다. 구체적으로

  • 키 관리 서비스는 정보를 암호화/복호화하고 데이터 암호화 키를 생성할 수 있는 기능과 함께 특별히 지정된 사용자에게 키 액세스 권한을 제공해야 합니다.
  • 키 관리 서비스는 키 생성, 삭제 예약, 로테이션 활성화/비활성화, 키 사용 정책 설정 등의 기능을 통해 특별히 지정된 사용자에게 키 관리 액세스 권한을 제공해야 합니다.
  • 키 관리 서비스는 키의 전체 운영 수명 기간 동안 키를 저장하고 백업해야 합니다.
  • 키 관리 서비스는 최소 12개월에 한 번씩 키를 교체해야 합니다.

비밀 키

비밀(대칭) 키는 엄격한 보안 조치를 통해 안전하게 배포되고 미사용 시 보호되어야 합니다.

공개 키

공개 키 암호화는 공개-개인 키 쌍을 사용합니다. 공개 키는 인증 기관에서 발급한 디지털 인증서에 포함되며, 개인 키는 최종 사용자에게 남아 있습니다.

기타 공개 키

  • 소프트웨어에서 키를 생성하는 경우 사용자는 보안 백업을 하나 이상 만들어야 합니다.
  • 사용자는 암호화를 위해 개인 키의 에스크로 사본을 생성하여 인프라 팀 담당자에게 전달해야 합니다.
  • 인프라 팀은 신원 인증서에 대한 개인 키를 에스크로하지 않습니다.
  • 모든 백업은 비밀번호 또는 암호로 보호해야 합니다.