Che cos'è la crittografia dei dati?

La crittografia dei dati è un modo di codificare le informazioni per renderne difficile l'accesso da parte di persone non autorizzate. Questa procedura protegge i dati da accessi non autorizzati, manipolazioni, perdite o distruzioni, indipendentemente dal fatto che i dati siano archiviati su server, trasmessi tramite reti o elaborati attivamente.

• Crittografia a riposo: Per i dati a riposo, sono disponibili set di algoritmi avanzati come AES-256 da utilizzare. Ciò garantisce che se il dispositivo di archiviazione fisico viene violato in qualche modo, i dati rimarranno inaccessibili senza la chiave di decrittografia.
• Crittografia in transito: Per i dati in transito, vengono utilizzati metodi di crittografia come Transport Layer Security (TLS) per stabilire un canale di comunicazione sicuro tra il dispositivo e il servizio cloud. Ciò elimina l'ascolto e la manipolazione dei dati su vasta scala mentre operano all'interno delle reti.

Dati in sicurezza cloud viene ottenuto:

• A riposo: I dati a riposo sono protetti tramite l'uso di algoritmi di crittografia avanzati o archiviati in posizioni sicure e talvolta possono avere altre misure di sicurezza come il controllo degli accessi e la registrazione.
• In transito: La protezione dei dati in transito è mantenuta da un livello TLS/SSL che crittografa le informazioni scambiate tra il tuo dispositivo e il servizio cloud.
• In uso: I dati in uso sono una delle aree di interesse relativamente più recenti. Tecnologie come la crittografia omomorfica e le enclave sicure vengono sviluppate per effettuare calcoli su dati crittografati senza divulgare i dati stessi.

La gestione delle chiavi è una componente essenziale della crittografia. Negli ambienti SaaS, la responsabilità della gestione delle chiavi può essere distribuita in modi diversi. 

Alcuni fornitori ti consentono di utilizzare chiavi gestite dal cliente e sei l'unico responsabile della gestione delle chiavi utilizzate per crittografare i tuoi dati. Alcuni implementano chiavi gestite dal provider in cui il provider è responsabile della generazione, dell'archiviazione e della gestione delle chiavi. 

Per ridurre al minimo il rischio di compromissione, è fondamentale cambiare le chiavi regolarmente. Il consumatore può essere limitato alle opzioni di recupero dati se il provider gestisce le chiavi.

È qui che il tuo accordo legale con il provider SaaS entra in gioco. Dovrebbe essere specificamente indicato o fornito un piano chiaro su come i dati verranno recuperati e cancellati in caso di chiusura o acquisizione del provider. Se utilizzi la chiave gestita dal cliente, dovresti essere in grado di recuperare i tuoi dati crittografati e quindi decrittografarli con la tua chiave.