Sikkerhet

Kryptering av data

At data er beskyttet både når de sendes og når de ligger lagret.

Hvorfor det er viktig

Kryptering i transitt er standard i dag. Kryptering i hvile er det som avgjør hva en angriper faktisk får med seg hvis de kommer inn — eller hvis en disk kommer på avveie.

Eksempel på kravformulering

All kommunikasjon skal skje over TLS 1.2 eller nyere. Persondata skal krypteres i hvile med minimum AES-256. Nøkler skal håndteres i en dedikert nøkkeltjeneste, ikke ligge i kildekode eller konfigurasjonsfiler.

Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.

Slik verifiserer du det

Sjekk TLS-oppsettet med et offentlig verktøy. Be om å få se hvordan nøkler lagres og roteres — svaret «de ligger i en miljøvariabel» er ikke godt nok for sensitive data.

Fallgruver

Å tro at kryptering i hvile beskytter mot alt. Har applikasjonen lesetilgang, har en angriper som eier applikasjonen det også. Kryptering løser tyveri av lagringsmedium, ikke dårlig tilgangsstyring.

AI-perspektiv

Data som sendes til et eksternt AI-API forlater deres krypterte lager. Krev at det er avklart hva som faktisk sendes ut, og til hvilken jurisdiksjon.

Slik skriver du en kravspesifikasjon som fungerer →

← Alle krav  ·  Til hovedguiden