1. Propósito
Definir los algoritmos criptográficos, longitudes de clave y protocolos aceptables aprobados para su uso en [ORGANIZATION] para asegurar una protección de datos consistente y adecuada.
2. Alcance
Esta política se aplica a todas las implementaciones criptográficas utilizadas para proteger los datos de [ORGANIZATION], ya sean desarrolladas internamente, adquiridas comercialmente o proporcionadas por servicios de terceros.
3. Política
3.1 Algoritmos Aprobados
Los siguientes algoritmos criptográficos y longitudes mínimas de clave están aprobados para su uso:
| Propósito | Algoritmos Aprobados | Longitud Mínima de Clave | Notas |
|---|---|---|---|
| Cifrado Simétrico | AES | 256 bits | AES-128 aceptable para datos no sensibles. Modos CBC, GCM o CCM. |
| Cifrado Asimétrico | RSA, ECDSA, Ed25519 | RSA-2048, ECDSA P-256, Ed25519 | RSA-4096 recomendado para claves a largo plazo |
| Intercambio de Claves | ECDH, DH | ECDH P-256, DH 2048 bits | Preferir ECDH por rendimiento |
| Hashing | SHA-256, SHA-384, SHA-512, SHA-3 | 256 bits | SHA-1 prohibido para nuevas implementaciones |
| Autenticación de Mensajes | HMAC-SHA256, AES-CMAC | 256 bits | HMAC-MD5 prohibido |
| Hashing de Contraseñas | bcrypt, scrypt, Argon2id, PBKDF2 | N/A | Argon2id preferido. PBKDF2 mínimo 600,000 iteraciones con SHA-256 |
| TLS | TLS 1.2, TLS 1.3 | N/A | TLS 1.3 preferido. TLS 1.0 y 1.1 prohibidos |
3.2 Algoritmos Prohibidos
Los siguientes algoritmos están prohibidos para todas las nuevas implementaciones y deberán eliminarse gradualmente de las implementaciones existentes dentro de [PERSONALIZAR: 6/12] meses: DES, 3DES (excepto para entornos PCI heredados con excepción documentada), RC4, MD5 (para cualquier propósito de seguridad), SHA-1 (para firmas digitales o validación de certificados), SSL 2.0 y 3.0, TLS 1.0 y 1.1, longitudes de clave RSA inferiores a 2048 bits y cualquier algoritmo criptográfico propietario o no estándar.
3.3 Estándares de Implementación
Las implementaciones criptográficas deberán utilizar bibliotecas establecidas y revisadas (OpenSSL, BoringSSL, libsodium, bibliotecas criptográficas nativas de la plataforma). Las implementaciones criptográficas personalizadas están prohibidas.
La generación de números aleatorios deberá utilizar generadores de números pseudoaleatorios criptográficamente seguros (CSPRNG) proporcionados por el sistema operativo o bibliotecas aprobadas.
La validación de certificados deberá aplicar: verificación de la cadena de certificados, verificación del nombre de host, verificación de la expiración del certificado y verificación de revocación (OCSP o CRL).
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos