De nombreuses réglementations exigent le chiffrement des informations sensibles. La classe Informations sensibles sur les clients couvre toutes les informations considérées comme sensibles. CXone s’efforce de chiffrer toutes les données, à quelques exceptions près. CXone utilise les lignes directrices générales et spécifiques suivantes en matière de chiffrement.
Lignes directrices générales en matière de chiffrement
Les lignes directrices générales en matière de chiffrement pour la plateforme CXone sont les suivantes :
- Classe Informations sensibles sur les clients : Ces informations doivent être chiffrées à la fois en transit et au repos sur toute la plateforme. Des exceptions à cette règle générale peuvent être approuvées par le groupe de gouvernance de la sécurité en fonction de la sensibilité des informations. Les informations sensibles sur les clients doivent prendre en charge le crypto-déchiquetage. Ainsi, même les sauvegardes ne conserveront pas les informations.
- Classe Informations sur l’utilisation par les clients : Les types d’informations suivants peuvent ne pas nécessiter de chiffrement en mouvement :
Informations du carnet d’adresses.
Information EAN.
Adresses de courriel.
- Toutes les informations : Selon les meilleures pratiques du secteur, toutes les informations devraient être chiffrées à la fois en transit et au repos sur toute la plateforme. Des exceptions à cette règle générale peuvent être approuvées par le groupe de gouvernance de la sécurité en fonction de la sensibilité des informations. Il existe de nombreux exemples où cette ligne directrice n’est pas respectée aujourd’hui. Ces problèmes seront résolus au fil du temps, mais tout nouveau service devrait suivre cette ligne directrice.
Lignes directrices spécifiques en matière de chiffrement
CXone doit suivre les meilleures pratiques du secteur en ce qui concerne les technologies de chiffrement spécifiques. Les lignes directrices suivantes devraient également être utilisées par CXone :
-
Pour le chiffrement en transit, TLS 1.2 ou plus doit être utilisé. Les spécificités ne doivent pas être précisées dans le code. Elles doivent plutôt être héritées du système d’exploitation ou d’autres sources configurables. L’objectif de cette pratique est de minimiser les efforts de R&D lorsque des changements doivent être apportés.
-
Pour les informations sensibles sur les clients, une clé de locataire spécifique doit être utilisée. Cela permet le crypto-déchiquetage. Cela répond également aux attentes de
-
La rotation des clés doit faire partie de la technologie sous-jacente (comme AWS KMS) ou être prise en charge par le produit.
-
Il n’est pas obligatoire d’utiliser des cryptogrammes et des protocoles de gestion des clés spécifiques. Toutefois, seuls les algorithmes et les protocoles répondant aux exigences du NIST doivent être utilisés. Ils doivent être utilisés avec une force équivalente à AES-256.