Home

CSA-2: Crittografia dei Dati

Descrizione

La crittografia dei dati protegge le informazioni sensibili da accessi non autorizzati. Tutti i dati DEVONO (MUST) essere crittografati sia in transito che at rest utilizzando standard crittografici approvati.

Guida

Encryption in Transit (Dati in transito)

I dati DEVONO (MUST) essere crittografati durante la trasmissione:

• TLS 1.2 o superiore: Per tutte le comunicazioni HTTPS
• TLS 1.3: Raccomandato per nuove implementazioni
• Certificati validi: Certificati SSL/TLS da Certificate Authority riconosciute
• Perfect Forward Secrecy (PFS): Abilitato per proteggere traffico passato

Configurazioni richieste:

• Disabilitare protocolli obsoleti (SSLv3, TLS 1.0, TLS 1.1)
• Usare cipher suite forti (es. AES-GCM)
• Implementare HSTS (HTTP Strict Transport Security)

Encryption at Rest (Dati at rest)

I dati DEVONO (MUST) essere crittografati quando archiviati:

• Database: Encryption at rest abilitata (AWS RDS encryption, Azure SQL TDE)
• Object storage: Encryption at rest per S3, Azure Blob Storage
• Block storage: EBS encryption, Azure Disk Encryption
• Backup: Backup crittografati

Standard crittografici approvati:

• AES-256: Per symmetric encryption
• RSA-2048 o superiore: Per asymmetric encryption
• Key management: AWS KMS, Azure Key Vault, o HSM dedicato

Gestione delle chiavi

Le chiavi crittografiche DEVONO (MUST) essere gestite in modo sicuro:

• Key rotation: Rotazione regolare delle chiavi (almeno annuale)
• Access control: Solo servizi autorizzati possono accedere alle chiavi
• Separation of duties: Separazione tra gestione chiavi e utilizzo
• Audit logging: Tracciare tutti gli accessi alle chiavi

Servizi raccomandati:

• AWS KMS (Key Management Service)
• Azure Key Vault
• HashiCorp Vault

Dati sensibili

Particolare attenzione per:

• Personal Identifiable Information (PII): Nome, indirizzo, email, telefono
• Dati finanziari: Numeri di carte di credito, dati bancari
• Dati sanitari: Informazioni mediche (HIPAA compliance se applicabile)
• Credenziali: Password, token, API keys (usare secret management)

Misurazione

Stato	Criteri
🟢 VERDE	Encryption in transit e at rest con standard approvati, key management implementato
🟡 AMBRA	Encryption parziale o metodi non standard
🔴 ROSSO	Dati non crittografati o encryption debole

Riferimenti

• OWASP Cryptographic Storage Cheat Sheet
• AWS Encryption Best Practices
• Azure Data Encryption Best Practices
• NIST Cryptographic Standards