Protección de los datos en reposo
Los datos en reposo representan los datos que se conservan en un almacenamiento no volátil durante cualquier periodo de tiempo en una carga de trabajo. Esto incluye el almacenamiento en bloque, el almacenamiento de objetos, las bases de datos, los archivos, los dispositivos IoT y todo tipo de forma de almacenamiento en la que se conserven los datos. La protección de los datos en reposo reduce el riesgo de acceso no autorizado si se implementan el cifrado y los controles de acceso adecuados.
El cifrado y la tokenización son dos esquemas de protección de datos importantes pero distintos.
La tokenización es un proceso que le permite definir un token para representar un dato de carácter confidencial (por ejemplo, un token para representar el número de la tarjeta de crédito de un cliente). Un token no puede tener significado por sí mismo y no debe derivarse de los datos que se están tokenizando. Por tanto, un resumen criptográfico no puede usarse como token. Al planificar minuciosamente el enfoque de tokenización, puede proporcionar protección adicional al contenido y también asegurarse de que se cumplan los requisitos de conformidad. Por ejemplo, puede reducir el ámbito de conformidad de un sistema de procesamiento de tarjetas de crédito si saca partido de un token en lugar de utilizar un número de tarjeta de crédito.
El cifrado es un método de transformación de contenido que impide que este se pueda leer sin una clave secreta necesaria para descifrarlo y convertirlo en texto sin formato. La tokenización y el cifrado se pueden usar para asegurar y proteger la información cuando corresponda. Además, el enmascaramiento es una técnica que permite redactar parte de la información hasta un punto en el que los datos restantes no se consideren confidenciales. Por ejemplo, PCDI-DSS permite conservar los últimos cuatro dígitos del número de una tarjeta, aunque este dato esté fuera del límite del ámbito de conformidad del proceso de indexación.
Auditar el uso de las claves de cifrado: asegúrese de entender el uso de las claves de cifrado y de realizar una auditoría en ellas, para validar que se implementen correctamente los mecanismos de control de acceso en dichas claves. Por ejemplo, un servicio de AWS que utilice una clave de AWS KMS registra cada uso en AWS CloudTrail. A continuación, puede realizar una consulta en AWS CloudTrail, mediante una herramienta como Amazon CloudWatch Insights, para garantizar que todos los usos de las claves sean válidos.
Prácticas recomendadas
