At data er beskyttet både når de sendes og når de ligger lagret.
Hvorfor det er viktig
Kryptering i transitt er standard i dag. Kryptering i hvile er det som avgjør hva en angriper faktisk får med seg hvis de kommer inn — eller hvis en disk kommer på avveie.
Eksempel på kravformulering
All kommunikasjon skal skje over TLS 1.2 eller nyere. Persondata skal krypteres i hvile med minimum AES-256. Nøkler skal håndteres i en dedikert nøkkeltjeneste, ikke ligge i kildekode eller konfigurasjonsfiler.
Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.
Slik verifiserer du det
Sjekk TLS-oppsettet med et offentlig verktøy. Be om å få se hvordan nøkler lagres og roteres — svaret «de ligger i en miljøvariabel» er ikke godt nok for sensitive data.
Fallgruver
Å tro at kryptering i hvile beskytter mot alt. Har applikasjonen lesetilgang, har en angriper som eier applikasjonen det også. Kryptering løser tyveri av lagringsmedium, ikke dårlig tilgangsstyring.
AI-perspektiv
Data som sendes til et eksternt AI-API forlater deres krypterte lager. Krev at det er avklart hva som faktisk sendes ut, og til hvilken jurisdiksjon.