Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

REQ.147 Utilizar mecanismos pre-existentes

En el presente documento se detallan los requerimientos de seguridad relacionados a la criptografía y el proceso de ocultar información sensible. En este requerimiento se establece la importancia de implementar funciones criptográficas con mecanismos existentes.

Requisito

Las funciones de criptografía del sistema deben ser implementadas con mecanismos criptográficos pre-existentes y vigentes.

Soluciones

Referencias

  1. HIPAA Security Rules 164.312(a)(2)(iv): Cifrado y Descifrado: Implementar un mecanismo para cifrar y descifrar información sensible protegida electrónicamente.

  2. OWASP-ASVS v3.1-1.12 Verificar que exista una política explícita sobre cómo administrar las claves criptográficas (si las hay) y se impone el ciclo de vida de las claves criptográficas. Idealmente, seguir un estándar de gestión de claves como NIST SP 800-57

  3. OWASP-ASVS v3.1-7.6 Verificar que todos los números aleatorios, archivos aleatorios, GUIDs aleatorios y cadenas aleatorias sean generadas utilizando el generador de números aleatorios aprobado del módulo criptográfico cuando se espera que estos valores aleatorios no puedan ser adivinados por un atacante.

  4. OWASP-ASVS v3.1-7.7 Verificar que los algoritmos criptográficos utilizados por la aplicación hayan sido validados por FIPS 140-2 o un estándar equivalente.

  5. NIST 800-53 IA-7 Módulo de autenticación criptográfica: Los sistemas de información deben implementar mecanismos para la autenticación con un módulo criptográfico que cumpla los requerimientos de las leyes federales aplicables, órdenes ejecutivas, directivas, políticas, regulaciones, estándares y guías para tal autenticación.


Estado de los servicios - Términos de Uso