Ir al contenido

Procedimientos de seguridad

Procedimientos de seguridad para el operador/administrador de HSM o el responsable de seguridad:

  1. Siga el Procedimiento de Instalación del Manual de Configuración cuando reciba el equipo;
  2. Cambie el PIN predeterminado de las tarjetas inteligentes inmediatamente después de formatearlas;
  3. master Cambie inmediatamente la contraseña de autenticación por defecto del operador especial delHSM y, a continuación, cámbiela periódicamente;
  4. Cree usuarios de tipo operador para cada administrador individual del HSM. De este modo, las operaciones administrativas se individualizan y quedan registradas en los registros de auditoría (logs) del HSM;
  5. Compruebe el código de seguridad OEM inmediatamente después de la inicialización para garantizar la integridad del equipo;
  6. Generar la clave maestra del servidor con división de semillas para dos partes distintas de los custodios de la tarjeta inteligente en un esquema M de N;
  7. Distribuye las dos tarjetas M de N (2 de 2) a dos partes diferentes;
  8. Configure el HSM en el modo de funcionamiento correcto (FIPS o no FIPS) de acuerdo con la política de seguridad local;
  9. Comprueba con frecuencia las relaciones de confianza entre los usuarios;
  10. Inspeccione el módulo con una frecuencia razonable para detectar indicios de manipulación en tres áreas del equipo:
    1. etiquetas de precinto, situadas en los laterales;
    2. aberturas de ventilación, situadas en la parte delantera y trasera;
    3. puertos físicos para lector de tarjetas inteligentes y teclado en la parte delantera y vídeo y red en la trasera;
  11. Compruebe el código de seguridad OEM con bastante frecuencia;
  12. Establecer una política para extraer, analizar y conservar sistemáticamente los registros.
  13. Establezca una política de copia de seguridad para la base de claves del HSM, utilizando una contraseña segura para proteger el archivo de copia de seguridad;

Comportamiento del operador relevante para el funcionamiento seguro del HSM:

  1. Utilice una contraseña segura para la autenticación remota a través de la API;
  2. Guarde las mitades de la Llave Maestra del Servidor en lugares separados y seguros, a los que se pueda acceder desde distintos lados;
  3. Retire la tarjeta inteligente del lector después de utilizarla;
  4. Mantenga la consola local bloqueada lógicamente (shell bloqueado) cuando no la utilice;
  5. Supervise el uso de los recursos del HSM (CPU y memoria) en diferentes momentos del ciclo de uso diario (horas punta, horas de inactividad, etc.);