¿Cuáles son los diferentes aspectos a considerar para la política de Enterprise Encryption?
Hasta ahora, los recursos que tengo son:
La mayoría de estos tratan con el cifrado de datos confidenciales en la base de datos. Para una auditoría interna sobre los estándares de encriptación en una organización, ¿qué más se debe tener en cuenta?
Reduciéndolo a estos factores con respecto a la administración clave, cuáles serían las mejores prácticas:
- Almacenamiento de claves dentro del código fuente
- Almacenamiento de claves dentro de los archivos de configuración
- Almacenamiento de claves dentro de un módulo de seguridad de hardware
- Almacenamiento de claves dentro de un almacén de claves
- Política de rotación de claves
- Copia de seguridad de claves
- Acceso restringido a claves
NIST ha proporcionado una guía disponible aquí: enlace
¿Qué sería relevante desde el punto de vista de una empresa?