Descripción general de la clave de cifrado

Genesys Cloud utiliza una técnica de encriptación de sobres para el cifrado de las grabaciones. Una grabación se encripta primero con una clave de encriptación de datos (DEK) simétrica, y después la DEK se encripta con un par de claves de encriptación (KEK) asimétricas. Tanto la grabación encriptada como el DEK encriptado se empaquetan en un archivo y se suben a un repositorio de grabaciones en Genesys Cloud.

• Para las KEK, Genesys Cloud crea un par de claves públicas/privadas RSA de 3072 bits. Las claves públicas se publican internamente con fines de cifrado. Las claves privadas se utilizan para el descifrado y nunca salen de Encryption Services dentro de Genesys Cloud. La clave pública y la clave privada de un par de claves KEK están vinculadas matemáticamente.
• Para los DEK, Genesys Cloud genera una clave simétrica AES de 256 bits. Se genera un DEK diferente por cada grabación.
• Los DEKs son encriptados por las claves públicas asociadas a los pares de claves KEK y sólo pueden ser descifrados por las correspondientes claves privadas.

Genesys Cloud Media Tier se atiene al proceso de encriptación mencionado al crear grabaciones que se almacenan de forma segura. Esto incluye el almacenamiento intermedio de Media Tier antes de que los archivos encriptados se carguen en el repositorio de grabaciones.  El almacenamiento intermedio de la capa de medios se encuentra dentro de Genesys Cloud con Genesys Cloud Voice o BYOC Cloud, o en las instalaciones cuando se cuenta con BYOC Premises. El uso de claves criptográficas largas y sólidas proporciona una defensa eficaz contra los ataques de fuerza bruta.

Cuando las grabaciones deben ser descifradas (por ejemplo, cuando se responde a la solicitud de reproducción de una grabación por parte de un usuario), el siguiente proceso de descifrado ocurre después de que el archivo es recuperado del repositorio de grabaciones:

1. El DEK cifrado se descifra utilizando la correspondiente clave privada asociada al par de claves KEK.
2. Con DEK, la grabación encriptada se descifra.

El mismo proceso de descifrado se sigue cuando las grabaciones son exportadas en masa. Los archivos de grabación exportados ya no están encriptados con las claves de cifrado mencionadas. in embargo, están protegidos en el cubo de S3 exportado con el cifrado del lado del servidor (SSE) habilitado según su política con claves de cifrado administradas de Amazon S3 (SSE-S3), o con Customer Master Keys (CMKs) almacenadas en AWS Key Management Service (SSE-KMS). Además, puede especificar un cifrado compatible con PGP para que los archivos se cifren al exportarlos.

Haga clic en la imagen para ampliarla.

Genesys Cloud admite los siguientes métodos de gestión de claves de cifrado:

• Genesys Cloud Managed Keys: Como se muestra en la imagen anterior, Genesys Cloud genera y almacena los pares de claves públicas/privadas KEK utilizados por el proceso de encriptación de la grabación. Esto le permite gestionar las KEK que están en Genesys Cloud, pero Genesys Cloud es el propietario de las claves. No es necesario mantener copias de las KEK. Las grabaciones están disponibles en forma descifrada para su reproducción, descarga o exportación masiva.
• Local Key Manager (LKM): Su organización implementa un servicio para generar pares de claves públicas/privadas KEK y las almacena.

Haga clic en la imagen para ampliarla.

Cuando se trabaja con LKM, Genesys Cloud utiliza la misma técnica de encriptación de sobres para el cifrado de la grabación, utilizando su clave pública como KEK. Para descifrar la grabación, el DEK cifrado se envía primero a LKM para su descifrado, el DEK descifrado se envía de nuevo a Genesys Cloud y se utiliza para descifrar la grabación. La clave KEK privada nunca entra en Genesys Cloud.

• AWS KMS Simétrico: Además, su organización encripta los pares de claves privadas de Genesys Cloud Managed KEK utilizando las claves simétricas proporcionadas por usted a través de AWS Key Management Service (KMS). De manera similar a LKM, esta opción le permite afirmar el control de acceso sobre las grabaciones en Genesys Cloud. Genesys Cloud puede descifrar las grabaciones solo mientras usted conceda acceso a las claves simétricas en AWS KMS.

Haga clic en la imagen para ampliarla.

Cuando se trabaja con AWS KMS, Genesys Cloud utiliza la misma técnica de cifrado de sobres para el cifrado de la grabación, Para el descifrado de la grabación, el par de claves KEK privadas es descifrado primero por AWS KMS.  Una vez descifrado, Genesys Cloud procede a utilizarlo para descifrar el DEK, donde el DEK se utiliza posteriormente para descifrar la grabación. Su clave simétrica de AWS KMS nunca entra en Genesys Cloud.

Cambiar las claves de encriptación regularmente ayuda a garantizar la seguridad de tus interacciones grabadas. Limita el número de grabaciones a las que puede acceder una clave determinada.

• Con Genesys Cloud Managed Keys, puede cambiar las KEK en la interfaz de usuario de la clave de cifrado, véase Modificar el calendario de cambio de clave y Cambiar la clave ahora .
• Con Local Key Manager, tendrá que cambiar las llaves en su servicio de llaves.
• Con AWS KMS Symmetric, puede cambiar la clave simétrica en AWS KMS, y luego cambiar las KEKs en la UI de la clave de cifrado.  Consulte la sección Rotar claves en AWS KMS en Traiga su propia clave utilizando una clave simétrica de AWS KMS para las grabaciones.

Se puede acceder a la página de gestión de claves de cifrado a través de Admin> Quality > Encryption Keys.

Haga clic en la imagen para ampliarla.