Hold Your Own Key (HYOK)
¿Qué es Hold Your Own Key (HYOK)?
Hold Your Own Key (HYOK)Modelo de gestión de claves en el que las claves de cifrado nunca salen del HSM o almacén del cliente; el proveedor cloud debe llamarlo para usar la clave.
HYOK es el modelo de control de claves más estricto: el material clave permanece íntegramente bajo control del cliente, normalmente en un HSM local o un gestor externo soberano, y el servicio cloud realiza operaciones criptográficas llamando a ese sistema. A diferencia de BYOK, el proveedor nunca tiene la clave en bruto dentro de su entorno, por lo que cualquier acceso exige una llamada autenticada y registrada al cliente. Se utiliza con datos altamente regulados (financiero, defensa, sanidad, nube soberana) donde el modelo de amenaza incluye al propio proveedor o el acceso legal de autoridades extranjeras. Sus contrapartidas son mayor latencia, más complejidad operativa y cobertura de servicios limitada. Ejemplos: AWS KMS XKS, Google Cloud EKM y Salesforce Shield Cache-Only Key Service.
● Ejemplos
- 01
Google Cloud EKM con claves alojadas en un gestor externo de terceros.
- 02
AWS KMS External Key Store (XKS) respaldado por un HSM del cliente.
● Preguntas frecuentes
¿Qué es Hold Your Own Key (HYOK)?
Modelo de gestión de claves en el que las claves de cifrado nunca salen del HSM o almacén del cliente; el proveedor cloud debe llamarlo para usar la clave. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Hold Your Own Key (HYOK)?
Modelo de gestión de claves en el que las claves de cifrado nunca salen del HSM o almacén del cliente; el proveedor cloud debe llamarlo para usar la clave.
¿Cómo defenderse de Hold Your Own Key (HYOK)?
Las defensas contra Hold Your Own Key (HYOK) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Hold Your Own Key (HYOK)?
Nombres alternativos comunes: HYOK, Gestión externa de claves.