Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Politica di crittografia Lo scopo di una politica di crittografia è stabilire, a livello dirigenziale, le aspettative aziendali e di conformità che l'organizzazione deve soddisfare. La politica serve come punto di partenza per definire una strategia di crittografia adeguata. La politica dovrebbe essere sufficientemente astratta da garantire libertà e flessibilità di implementazione. Allo stesso tempo, deve essere sufficientemente specifica da definire i limiti di un'implementazione accettabile che soddisfi gli obiettivi organizzativi. In generale, le policy sono indipendenti dalla tecnologia e vengono modificate molto raramente perché definiscono le caratteristiche fondamentali della strategia di crittografia aziendale. In genere, le politiche di crittografia contengono, ma non sono limitate a, quanto segue: + Qualsiasi regime normativo o di conformità che l'azienda deve rispettare + Qualsiasi impegno o aspettativa aziendale per la crittografia dei dati + Il tipo di dati che devono essere crittografati + Criteri per stabilire quando utilizzare tecniche di protezione dei dati diverse dalla crittografia, come l'hashing o la tokenizzazione Il livello di gestione più elevato dell'organizzazione, ad esempio CIO, CTO e CISO, di solito definisce e approva la politica di crittografia. Quando crei la tua politica di crittografia, considera quanto segue: + La vostra linea di business determina la conformità e i regimi normativi a cui dovete attenervi. Questi regimi determinano i requisiti di crittografia dei dati. Le decisioni a livello dirigenziale relative all'espansione dell'attività in nuove aree geografiche o all'ampliamento dell'offerta di prodotti possono influire sulle normative applicabili ai dati. Ad esempio, se una banca decide di offrire carte di credito ai propri clienti, probabilmente deve rispettare il [Data Security Standard (PCI-DSS) del settore delle carte di pagamento, che richiede la crittografia dei dati](https://www.pcisecuritystandards.org/document_library/). + La tua politica dovrebbe specificare il tipo di dati che devono essere crittografati. Questo varia in base ai requisiti di conformità e agli obiettivi di gestione dei dati dell'azienda. Ad esempio, la politica potrebbe stabilire che tutti i dati acquisiti o posseduti dall'azienda devono essere crittografati quando sono inattivi. + La politica di crittografia deve essere in linea con gli standard interni di categorizzazione dei dati. Per formulare una politica di crittografia efficace, è necessaria la determinazione delle categorie di dati a livello di metadati. Ad esempio, le categorie potrebbero includere dati pubblici, interni, riservati, segreti o relativi ai clienti. + Includi criteri su come determinare quali dati devono essere crittografati e quali dati devono essere protetti con un'altra tecnica, come la tokenizzazione o l'hashing. Ad esempio, la politica potrebbe stabilire che *tutte le informazioni di identificazione personale (PII) inserite nei registri di controllo, traccia o delle applicazioni devono essere* tokenizzate.