Genesys Cloud utiliza claves de cifrado que son únicas para cada organización. Estas claves de encriptación protegen las grabaciones del acceso no autorizado a la siguiente información:

  • Grabaciones de llamadas
  • Grabaciones digitales (correo electrónico, chat, mensaje)
  • Transcripción de una grabación correspondiente cuando la transcripción está activada

Nota: Las grabaciones de pantalla se cifran en el bucket de S3 con cifrado del lado del servidor (SSE) y claves de cifrado administradas de Amazon S3 (SSE-S3).

Genesys Cloud admite los siguientes métodos de gestión de claves de cifrado:

  • Genesys Cloud Managed Keys: Genesys Cloud genera y almacena los pares de claves KEK pública/privada que utiliza el proceso de cifrado de la grabación. Este método le permite gestionar las KEK que existen en Genesys Cloud; sin embargo, Genesys Cloud es el propietario de las claves. No es necesario mantener copias de las KEK. Puedes acceder a las grabaciones descifradas para reproducirlas, descargarlas o exportarlas en bloque.
  • Gestor local de claves (LKM): Su organización implementa un servicio para generar pares de claves públicas/privadas KEK y las almacena.

Haga clic en la imagen para ampliarla.

Flujo de gestores de claves locales

Cuando trabaja con LKM, Genesys Cloud utiliza la misma técnica de cifrado de sobres para el cifrado de grabaciones y utiliza su clave pública como KEK. Para descifrar la grabación, primero se envía el DEK cifrado a LKM para que lo descifre. A continuación, el DEK descifrado vuelve a Genesys Cloud y se utiliza para descifrar la grabación. La clave KEK privada nunca entra en Genesys Cloud.

Importante: Por razones de seguridad, debes salvaguardar tus claves privadas. Con LKM, usted es responsable de la propiedad de las KEK, y no debe eliminarlas de LKM antes de borrar las grabaciones correspondientes. Si se pierde alguna de las KEK, incluidas las que rotan, Genesys no dispone de ningún mecanismo para recuperar las grabaciones.

  • AWS KMS simétrico: Su organización cifra los pares de claves KEK privados administrados por Genesys Cloud con las claves simétricas que recibe de AWS Key Management Service (KMS). De manera similar a LKM, esta opción le permite afirmar el control de acceso sobre las grabaciones en Genesys Cloud. Genesys Cloud puede descifrar las grabaciones solo mientras usted conceda acceso a las claves simétricas en AWS KMS.

Haga clic en la imagen para ampliarla.

Flujo simétrico de AWS KMS

Cuando trabaja con AWS KMS, Genesys Cloud utiliza la misma técnica de cifrado de sobres para el cifrado de grabaciones. Para descifrar la grabación, AWS KMS descifra primero el par de claves KEK privadas . Tras el descifrado, Genesys Cloud lo utiliza para descifrar el DEK y el DEK se utiliza a continuación para descifrar la grabación. Su clave simétrica de AWS KMS nunca entra en Genesys Cloud.

Importante: Por razones de seguridad, debe salvaguardar sus claves simétricas en AWS KMS. Usted es responsable de la propiedad de estas claves simétricas, y no debe eliminarlas antes de borrar las grabaciones correspondientes. Si se pierde alguna de las claves simétricas, incluidas las que rotan, Genesys no dispone de ningún mecanismo para recuperar las grabaciones.

Genesys Cloud utiliza una técnica de encriptación de sobres para el cifrado de las grabaciones. Una grabación se cifra primero mediante una clave de cifrado de datos (DEK) simétrica, y después la DEK se cifra mediante un par de claves de cifrado (KEK) asimétricas. Tanto la grabación encriptada como el DEK encriptado se empaquetan en un archivo y se suben a un repositorio de grabaciones en Genesys Cloud.
  • Para las KEK, Genesys Cloud crea pares de claves públicas/privadas RSA de 3072 bits. Las claves públicas se publican internamente con fines de cifrado. Las claves privadas se utilizan para el descifrado y nunca abandonan los servicios de cifrado dentro de Genesys Cloud. La clave pública y la clave privada de un par de claves KEK están vinculadas matemáticamente.
  • Para los DEK, Genesys Cloud genera una clave simétrica AES de 256 bits diferente por grabación.
  • Los DEKs son encriptados por las claves públicas asociadas a los pares de claves KEK y sólo pueden ser descifrados por las correspondientes claves privadas.

Genesys Cloud Media Tier respeta el proceso de cifrado anterior cuando el sistema crea y almacena grabaciones de forma segura. Este proceso incluye el almacenamiento intermedio de Media Tier antes de que los archivos cifrados se carguen en el repositorio de grabaciones. El almacenamiento intermedio de la capa de medios reside en Genesys Cloud con Genesys Cloud Voice o BYOC Cloud, o en las instalaciones con BYOC Premises. El uso de claves criptográficas largas y sólidas proporciona una defensa eficaz contra los ataques de fuerza bruta.

Cuando debe descifrar grabaciones, por ejemplo, al responder a la solicitud de reproducción de una grabación de un usuario, se produce el siguiente proceso de descifrado después de recuperar el archivo del repositorio de grabaciones:

  1. El DEK cifrado se descifra utilizando la correspondiente clave privada asociada al par de claves KEK.
  2. Con DEK, la grabación encriptada se descifra.

El mismo proceso de descifrado se produce al exportar masivamente las grabaciones de a . Los archivos de grabación exportados ya no se cifran con las claves de cifrado mencionadas anteriormente. Sin embargo, están protegidos en el bucket de S3 exportado con cifrado del lado del servidor (SSE) habilitado según su política con claves de cifrado administradas de Amazon S3 (SSE-S3), o con Customer Managed Keys (CMKs) que almacena AWS Key Management Service (SSE-KMS). Además, puede especificar un cifrado compatible con PGP para cifrar los archivos a medida que se exportan.

Haga clic en la imagen para ampliarla.

Flujo de exportación a granel

Cambia regularmente las claves de encriptación para garantizar la seguridad de tus interacciones grabadas. Este procedimiento limita el número de grabaciones a las que puede acceder una clave determinada.

Nota: Recomendamos utilizar la rotación de claves programada con un intervalo corto.

Para acceder a la página de gestión de claves de cifrado, haga clic en Admin > Calidad > Claves de cifrado.

Haga clic en la imagen para ampliarla.

Página de gestión de claves de cifrado