合规性

Rask 人工智能的加密政策

Brask Inc
‍

宗旨

该政策规定了使用加密控制的组织要求以及对加密密钥的要求，以保护信息的保密性、完整性、真实性和不可抵赖性。

范围

本政策适用于以下范围内的所有系统、设备、设施和信息

Rask 人工智能信息安全计划。所有员工、承包商、兼职人员、临时工、服务提供商以及受雇于他人代表公司从事与加密系统、算法或密钥材料有关工作的人员都受本政策约束，必须遵守本政策。

背景介绍

本政策定义了Rask AI 使用加密算法和密钥的高级目标和实施说明。组织必须在所有工作中心采用标准的加密控制方法，以确保端到端安全性，同时促进互操作性。本文件定义了批准使用的特定算法、密钥管理和保护要求以及在云环境中使用加密技术的要求。

角色与责任

布拉斯克 ML 基础设施部负责维护和更新此政策。
‍

政策

加密控制

Rask 人工智能通过以下加密控制措施保护各个系统和信息：

适用法律

组织批准的加密必须符合相关的地方和国际法律，包括进出口限制。Rask AI 使用的加密技术符合国际标准和美国要求，可在国际上使用。

关键管理

钥匙必须由其所有者管理，并防止丢失、更改或毁坏。必须进行适当的访问控制和定期备份。

钥匙管理服务

所有密钥管理都必须使用能自动管理密钥生成、访问控制、安全存储、备份和轮换的软件。具体来说

• 密钥管理服务必须为专门指定的用户提供密钥访问权限，使其能够加密/解密信息并生成数据加密密钥。
• 密钥管理服务必须为专门指定的用户提供密钥管理访问权限，使其能够为密钥创建、安排删除、启用/禁用轮换和设置使用策略。
• 密钥管理服务必须在密钥的整个运行周期内对其进行存储和备份。
• 钥匙管理服务必须至少每 12 个月轮换一次钥匙。

秘钥

秘密（对称）密钥必须安全地分发，并通过严格的安全措施加以保护。

公钥

公钥加密技术使用公私密钥对。公钥包含在证书颁发机构颁发的数字证书中，而私钥则保留在最终用户手中。

其他公钥

• 如果密钥是在软件中生成的，用户必须至少创建一个安全备份。
• 用户必须创建用于加密的私人密钥托管副本，并将其交给基础设施团队代表。
• 基础设施团队不代管身份证书的私钥。
• 所有备份都必须使用密码或口令进行保护。