Quali sono i diversi aspetti da considerare per i criteri di crittografia aziendale?
Finora le risorse che ho sono:
La maggior parte di questi si occupa della crittografia di dati sensibili nel database. Per un audit interno sugli standard di crittografia in un'organizzazione, cos'altro dovrebbe essere preso in considerazione?
Restringendolo a questi fattori per quanto riguarda la gestione delle chiavi, quali sarebbero le migliori pratiche:
- Archiviazione di chiavi nel codice sorgente
- Archiviazione di chiavi nei file di configurazione
- Archiviazione di chiavi all'interno di un modulo di sicurezza hardware
- Archiviazione di chiavi all'interno di un keystore
- Politica di rotazione delle chiavi
- Backup delle chiavi
- Accesso limitato alle chiavi
Il NIST ha fornito una guida disponibile qui: link
Che cosa sarebbe rilevante dal punto di vista aziendale?