Política de Cifrado

Todo el cifrado deberá utilizar algoritmos y longitudes de clave estándar de la industria. Se aplican los siguientes estándares mínimos:

Cifrado simétrico: AES-256 para datos en reposo y en tránsito.

Cifrado asimétrico: RSA-2048 o ECDSA P-256 como mínimo para intercambio de claves y firmas digitales.

Hashing: SHA-256 o superior para verificación de integridad.

TLS 1.2 o superior para todas las comunicaciones de red cifradas. TLS 1.0 y 1.1 están prohibidos.

Los algoritmos obsoletos o conocidos como débiles (DES, 3DES, RC4, MD5, SHA-1 para firmas) están prohibidos para nuevas implementaciones y deberán eliminarse gradualmente de los sistemas existentes dentro de [PERSONALIZAR: 6/12] meses.

Todos los datos Confidenciales y Restringidos almacenados en servidores, bases de datos y sistemas de almacenamiento deberán cifrarse en reposo usando AES-256 o equivalente.

El cifrado de disco completo deberá habilitarse en todas las computadoras portátiles, dispositivos portátiles y medios de almacenamiento extraíbles utilizados para los negocios de [ORGANIZACION].

El cifrado a nivel de base de datos (TDE o equivalente) deberá habilitarse para bases de datos que contengan datos Confidenciales o Restringidos.

Los medios de respaldo que contengan datos Confidenciales o Restringidos deberán cifrarse.

Todos los datos transmitidos a través de redes no confiables (incluyendo Internet) deberán cifrarse usando TLS 1.2 o superior.

La transmisión interna de datos Confidenciales y Restringidos deberá cifrarse, incluso dentro de la red interna de [ORGANIZACION].

El correo electrónico que contenga datos Confidenciales o Restringidos deberá cifrarse usando S/MIME, PGP o una puerta de enlace de cifrado de correo electrónico aprobada.

Las transferencias de archivos que contengan datos sensibles deberán usar SFTP, SCP o HTTPS. FTP está prohibido para datos Confidenciales o Restringidos.

Las claves criptográficas deberán generarse, almacenarse, distribuirse y destruirse utilizando procedimientos documentados aprobados por [PERSONALIZAR: CISO/Equipo de Seguridad].

Las claves privadas y claves simétricas deberán almacenarse en módulos de seguridad de hardware (HSM), bóvedas de claves seguras o almacenamiento equivalente resistente a manipulaciones.

La rotación de claves deberá ocurrir como mínimo [PERSONALIZAR: anualmente/semestralmente] o inmediatamente ante sospecha de compromiso.

El acceso a las claves deberá seguir el principio de mínimo privilegio con separación de funciones (ningún individuo deberá tener acceso tanto a los datos cifrados como a las claves de descifrado para los niveles de clasificación más altos).

Un proceso de recuperación de claves deberá documentarse y probarse [PERSONALIZAR: anualmente/semestralmente] para asegurar la continuidad del negocio.