Chiffrement des données TSA (Technical Security Architecture)

De nombreuses réglementations imposent le chiffrement des informations sensibles. La classe Informations sensibles du client englobe toutes les informations considérées comme sensibles. CXone s’efforce de chiffrer toutes les données, avec quelques exceptions. CXone suit les directives de chiffrement générales et spécifiques ci-après.

Directives de chiffrement générales

Les directives de chiffrement générales pour la plateforme CXone sont les suivantes :

  • Classe des informations sensibles du client : ces informations doivent impérativement être chiffrées à la fois en transit et au repos sur l’ensemble de la plate-forme. Des exceptions à cette règle générale peuvent être approuvées par le groupe de gouvernance de sécurité en fonction de la sensibilité des informations. Les informations sensibles du client devraient prendre en charge le crypto-déchiquetage (ou « crypto-shredding » en anglais). On est ainsi assuré que même les sauvegardes ne conserveront pas les informations.
  • Classe des informations d’utilisation du client : les types d’informations suivants ne nécessitent pas le chiffrement des données en mouvement.
    • Informations du carnet d’adresses.

    • Informations ANI

    • Adresses e-mail

  • Toutes les informations : du point de vue des meilleures pratiques du secteur, toutes les informations devraient être chiffrées à la fois en transit et au repos sur l’ensemble de la plate-forme. Des exceptions à cette règle générale peuvent être approuvées par le groupe de gouvernance de sécurité en fonction de la sensibilité des informations. Il existe aujourd’hui de nombreuses situations dans lesquelles cette directive n’est pas suivie. Elles seront traitées au fil du temps, mais tout nouveau service devrait se conformer à cette directive.

Directives de chiffrement spécifiques

CXone doit suivre les meilleures pratiques du secteur concernant les technologies de chiffrement spécifiques. Les directives suivantes devraient également être observées par CXone :

  • Pour le chiffrement en transit, TLS 1.2 ou supérieur doit impérativement être utilisé. Les caractéristiques spécifiques ne devraient pas être définies dans le code. Elles devraient plutôt être héritées du système d’exploitation ou autres sources configurables. Cette pratique a pour but de réduire au minimum les opérations de R&D lorsqu’une modification est nécessaire.

  • Concernant les informations sensibles du client, une clé locataire spécifique devrait être utilisée. Cela permet de pratiquer le crypto-déchiquetage. C’est également conforme aux attentes des tenants en termes d’isolement des informations sensibles.

  • La rotation des clés devrait faire partie de la technologie sous-jacente (comme AWS KWS) ou être prise en charge par le produit.

  • Le type de chiffrement et le protocole de gestion des clés ne sont pas imposés. Néanmoins, seuls les algorithmes et protocoles conformes aux exigences NIST devraient être utilisés. Ils devraient être appliqués avec une force équivalente à AES-256.