Kebijakan Enkripsi untuk Rask AI

Brask Inc

Tujuan

Kebijakan ini mendefinisikan persyaratan organisasi untuk penggunaan kontrol kriptografi, serta persyaratan untuk kunci kriptografi, untuk melindungi kerahasiaan, integritas, keaslian, dan tidak dapat dipungkiri dari informasi.

Cakupan

Kebijakan ini berlaku untuk semua sistem, peralatan, fasilitas, dan informasi dalam lingkup

Rask Program keamanan informasi AI. Semua karyawan, kontraktor, pekerja paruh waktu, dan pekerja sementara, penyedia layanan, dan mereka yang dipekerjakan oleh pihak lain untuk melakukan pekerjaan atas nama organisasi yang berkaitan dengan sistem kriptografi, algoritme, atau materi kunci tunduk pada kebijakan ini dan harus mematuhinya.

Latar Belakang

Kebijakan ini mendefinisikan tujuan tingkat tinggi dan instruksi implementasi untuk Rask penggunaan algoritme dan kunci kriptografi. Sangat penting bagi organisasi untuk mengadopsi pendekatan standar untuk kontrol kriptografi di semua pusat kerja untuk memastikan keamanan menyeluruh, sekaligus mempromosikan interoperabilitas. Dokumen ini mendefinisikan algoritme spesifik yang disetujui untuk digunakan, persyaratan untuk manajemen dan perlindungan kunci, dan persyaratan untuk menggunakan kriptografi di lingkungan cloud.

Peran dan Tanggung Jawab

Departemen Infrastruktur ML Brask memelihara dan memperbarui kebijakan ini. CEO dan departemen hukum menyetujui kebijakan ini dan setiap perubahannya.

Kebijakan

Kontrol Kriptografi

Rask AI melindungi sistem dan informasi individu menggunakan kontrol kriptografi seperti yang diuraikan di bawah ini:

Hukum yang Mengatur

Enkripsi yang disetujui secara organisasi harus mematuhi hukum lokal dan internasional yang relevan, termasuk pembatasan impor/ekspor. Enkripsi yang digunakan oleh Rask AI memenuhi standar internasional dan persyaratan A.S., sehingga memungkinkan untuk digunakan secara internasional.

Manajemen Kunci

Kunci harus dikelola oleh pemiliknya dan dilindungi dari kehilangan, perubahan, atau kerusakan. Kontrol akses yang tepat dan pencadangan rutin adalah wajib.

Layanan Manajemen Kunci

Semua manajemen kunci harus dilakukan dengan menggunakan perangkat lunak yang secara otomatis mengelola pembuatan kunci, kontrol akses, penyimpanan yang aman, pencadangan, dan rotasi kunci. Secara khusus:

  • Layanan manajemen kunci harus menyediakan akses kunci untuk pengguna yang ditunjuk secara khusus, dengan kemampuan untuk mengenkripsi/mendekripsi informasi dan menghasilkan kunci enkripsi data.
  • Layanan manajemen kunci harus menyediakan akses administrasi kunci untuk pengguna yang ditunjuk secara khusus, dengan kemampuan untuk membuat, menjadwalkan penghapusan, mengaktifkan/menonaktifkan rotasi, dan menetapkan kebijakan penggunaan kunci.
  • Layanan manajemen kunci harus menyimpan dan mencadangkan kunci selama masa operasionalnya.
  • Layanan manajemen kunci harus merotasi kunci setidaknya sekali setiap 12 bulan.

Kunci Rahasia

Kunci rahasia (simetris) harus didistribusikan dengan aman dan dilindungi saat tidak digunakan dengan langkah-langkah keamanan yang ketat.

Kunci Publik

Kriptografi kunci publik menggunakan pasangan kunci publik-pribadi. Kunci publik disertakan dalam sertifikat digital yang dikeluarkan oleh otoritas sertifikat, sedangkan kunci privat tetap berada di tangan pengguna akhir.

Kunci Publik Lainnya

  • Jika kunci dibuat dalam perangkat lunak, pengguna harus membuat setidaknya satu cadangan yang aman.
  • Pengguna harus membuat salinan kunci pribadi untuk enkripsi dan mengirimkannya kepada perwakilan Tim Infrastruktur.
  • Tim Infrastruktur tidak menyimpan kunci privat untuk sertifikat identitas.
  • Semua cadangan harus dilindungi dengan kata sandi atau frasa sandi.