Criptografia em nível de coluna para empresas

Versão de lançamento: Australia

Atualizado 12 de mar. de 2026

8 min. de leitura

Criptografia em nível de coluna para empresas usa o. Estrutura de gestão principal( KMF) para permitir que você personalize e gerencie como os campos e anexos são criptografados e descriptografados em sua instância. Uma assinatura é necessária para usar Criptografia em nível de coluna para empresas.

Importante:

Começando com Zurich versão, Criptografia em nível de coluna(CLE) e. Criptografia em nível de coluna para empresas(CLEE) estão sendo preparados para descontinuação futura. Eles serão ocultos e não serão mais ativados em novas instâncias, mas continuarão sendo compatíveis. Criptografia de campo e. Criptografia de campo Enterprise forneça a experiência mais recente para esta funcionalidade.

Para obter detalhes, consulte o Processo de descontinuação [ KB0867184 ] Na base de conhecimento do Now Support.

Criptografia em nível de coluna para empresas tem como premissa Criptografia em nível de coluna e usa o. Estrutura de gestão principal e seu suporte total de funções de gestão de chaves. Criptografia em nível de coluna para empresas fornece proteção de chave e gestão do ciclo de vida da chave para criptografia de campo no nível da aplicação. Todas as chaves são protegidas com uma hierarquia de encapsulamento de chaves, em última análise, enraizada nos FIPS (Federal Information Processing Standards) 140-2-L3 Hardware Security Modules (HSM).

Importante:

Este tópico cobre a versão Enterprise da Criptografia em nível de coluna. Para obter informações sobre a versão padrão da Criptografia em nível de coluna ou para aprender as diferenças entre as duas versões, consulte Explorando a Criptografia de campo.

O Criptografia de campo Enterprise oferece a capacidade de gerenciar como os campos compatíveis são criptografados e descriptografados de acordo com as práticas do NIST 800-57. Ele também usa a versão mais atualizada da criptografia em nível de campo, incluindo a integração para proteção e gerenciamento de chave apropriados.

Especificamente, Criptografia em nível de coluna para empresas usa o. KMF módulos de criptografia, concedendo mais controle da criptografia do lado do servidor. KMF verifica a proteção de chave de criptografia de dados apropriada usando hierarquia de chaves e criptografia de envelope. Sua instância criptografa os dados por meio de módulos criptográficos que você configura. É possível criar uma política de acesso para cada módulo e, em seguida, configurar as especificações criptográficas e as políticas de acesso e controlar a gestão do ciclo de vida das chaves.

O Criptografia em nível de coluna para empresas oferece suporte a políticas de acesso ao módulo com base em:

Escopo
Função
Script
Troca de recursos
Usuário do Sistema

Consulte Criar uma política de acesso ao módulo para obter informações adicionais.

Nota:

Para obter detalhes sobre os recursos compatíveis com a Criptografia em nível de coluna e saber como fazer upgrade e assinar o direito à Criptografia em nível de coluna para empresas, consulte Pacote de assinatura do Gerenciamento de criptografia e chaves.

Termos de criptografia


Termo	Descrição
Figura 1. Gerenciamento de chave	Suporte para gerenciamento de chave O KMF (Key Management Framework) é fundamental para o Criptografia em nível de coluna para empresas Obtenha os seguintes recursos: Gestão do ciclo de vida das chaves. Rotação de chave. Consulte Girar chaves para obter detalhes. Proteção de chave e geração de chave com módulos de segurança de hardware (HSMs) FIPS 140-2-L3. Separação de funções e deveres. A transferência segura de chaves de criptografia de dados entre instâncias, como instâncias de produção e não produção. Chaves fornecidas pelo cliente (CSK) com quebra de chave. Criptografia não determinística. Criptografia/descriptografia em massa Auditoria de acesso/uso de chave. Consulte Referência da estrutura de gestão de chaves para obter detalhes.
Figura 2. Chave fornecida pelo cliente	Suporte para chaves fornecidas pelo cliente Um dos maiores benefícios do Criptografia em nível de coluna para empresas é que você pode usar suas próprias chaves de criptografia. Os administradores têm a opção de usar chaves fornecidas pela ServiceNow ou suas próprias chaves fornecidas pelo cliente (CSK) para criptografia no ServiceNow AI Platform®. Você também pode gerenciar o ciclo de vida da chave e decidir quando revogar, girar e desativar as chaves. Depois de habilitar as chaves fornecidas pelo cliente e criar um módulo criptográfico, é preciso baixar um token e uma chave efêmera pública. O token e a chave pública são usados para encapsular sua chave e carregá-la na instância. Para usar chaves fornecidas pelo cliente, consulte Definição das configurações de Edge Encryption para selecionar o tipo de chave e Usando chaves fornecidas pelo cliente com Criptografia de campo Enterprise.
Figura 3. Criptografia em nível de coluna	Suporte para Edge Encryption e criptografia de anexo A criptografia de campo e a criptografia de anexo usam módulos criptográficos e políticas de acesso por meio de Configurações de campo criptografado. O formulário de Configuração de campo criptografado é usado para a escolha de um tipo de criptografia de coluna ou de anexo. Consulte Definição das configurações de campo criptografado para obter mais informações e os tipos de campo compatíveis.
Figura 4. Criptografia não determinística	Suporte para criptografia não determinística. O Criptografia em nível de coluna para empresas é compatível com a criptografia não determinística para maior segurança. Se o sistema criptografar os mesmos dados mais de uma vez, os textos cifrados serão diferentes a cada vez. A criptografia não determinística está disponível com a criptografia AES (Advanced Encryption Standard) com CBC (Cipher Block Chaining). Você pode habilitar este recurso por meio da opção Preservação de igualdade na fase de Definição de algoritmo da especificação criptográfica. Crie uma especificação criptográfica para um módulo criptográfico e defina um algoritmo de criptografia e gere uma chave. Consulte Criação de um módulo criptográfico para definir os mecanismos usados para operações criptográficas e para obter mais informações sobre como habilitar a criptografia não determinística.
Figura 5. Troca de recursos	Troca de recursos Criptografia em nível de coluna para empresas chave de instância para instância de maneira segura usando as APIs criptográficas KMF para fornecer confidencialidade, integridade, autenticação e não recusa. Troca de recursos é um recurso KMF que oferece a capacidade de trocar recursos entre instâncias de maneira segura. Consulte Troca de recursos do Key Management Framework para obter detalhes.

Nota:

Se você optar por não ativar a Criptografia de campo Enterprise, ainda poderá usar a Criptografia de campo. Consulte Explorando Criptografia em nível de coluna para obter informações.

O Criptografia de campo Enterprise oferece suporte a clientes no local. Ele não é compatível com a Separação de domínios.

Suporte para campos criptografados adicionais

A versão padrão de Criptografia em nível de coluna está limitado a cinco colunas criptografadas. Criptografia em nível de coluna oferece suporte a um número ilimitado de colunas criptografadas.

Informações sobre campo compatíveis

Os seguintes tipos de campo podem ser criptografados:

Anexos
Data
Data/Hora
E-mail
HTML
Diário
Entrada do diário
Lista de Diários
Telefone
Texto de cadeia de caracteres
Campo Traduzido
HTML traduzido
Texto Traduzido
URL

Criptografia de anexo

Criptografia de anexo por padrão

Para clientes que usam a Criptografia em nível de coluna, por padrão, os anexos são criptografados em tabelas que têm um tipo de Attachment ativo de configuração de campo criptografado (EFC).

Essa criptografia padrão definida pela configuração EFC significa que os administradores não precisam declarar manualmente que um anexo deve ser criptografado no carregamento dessas tabelas.

Os administradores podem proibir os usuários de anexar arquivos não criptografados

Para obter detalhes, consulte Impedir que usuários anexem arquivos não criptografados.

Recusar criptografia padrão

Se você não quiser que os anexos sejam criptografados por padrão com base na configuração EFC, é possível recusar essa opção entrando em contato com o suporte da ServiceNow.

Para recusar este recurso, crie um caso junto ao suporte da ServiceNow e inclua esta declaração no comentário do registro do caso:

"Eu [nome do cliente] entendo que estou solicitando que a ServiceNow desative uma prática recomendada de segurança para anexos, e que a [empresa do cliente] assume qualquer risco adicional relacionado à configuração e ao uso de anexos não criptografados na aplicação ServiceNow."

Suporte de API

Criptografia em nível de coluna Habilita as seguintes APIs.

Nota:

O comportamento da API descrito na tabela a seguir representa a configuração padrão do pacote de sistema base mais recente. Se você estiver trabalhando com versões de pacote mais antigas, poderá experimentar funcionalidades diferentes.

Tabela 1. APIs de criptografia de campo
API	Descrição	Parâmetros	Tipo de retorno
`ChangeEncryptionContext()`	Atualiza um contexto de criptografia (EC) ativo usado para criptografar um anexo. Quando o CLE é habilitado com o plug-in inicial do CLE usando o Módulo de criptografia KMF (CM), a API localiza o CM para o EC e o usa para criptografar o anexo. Nota: Esta API só está disponível no escopo global.	SourceTable - Nome da tabela que tem o anexo ID de origem - ID do sistema de registro de tabela. AttachmentId - O ID do sistema do registro sys_attachment. NoveEncryptionContextId - ID do sistema do novo contexto.	Booliano
`ChangeCryptoModule()`	Atualiza um módulo de criptografia ativo usado para criptografar um anexo. Nota: Esta API só está disponível no escopo global.	SourceTable - Nome da tabela que tem o anexo. ID de origem - ID do sistema de registro de tabela. AttachmentId - O ID do sistema do registro sys_attachment. NovoCryptoModuleId - ID do sistema do novo módulo de criptografia para criptografar o anexo.	Booliano
`DisableEncryption()`	Desabilite a criptografia ativa em um anexo.	SourceTable - Nome da tabela que contém o anexo. ID de origem - ID do sistema de registro de tabela. AttachmentId - O ID do sistema do registro sys_attachment.	Booliano
`Valor de Exibição()`	Retorna o valor de exibição de texto não criptografado de um campo criptografado.		Cadeia de caracteres
`getValue()`	Retorna o valor de texto não criptografado de um campo criptografado quando glide_encryption.set_value_support_cle.disabled é falso (requer política de acesso ao módulo (MAPA)). Retorna o valor criptografado de um campo criptografado quando glide_encryption.set_value_support_cle.disabled é verdadeiro.		Cadeia de caracteres
`setDisplayValue()`	Insere dados criptografados em um campo criptografado para fins de exibição.	Nome - Nome do campo. Valor - Valor do campo.	Booliano
`setValue()`	Insere dados criptografados em um campo criptografado, controlado por uma propriedade do sistema. Criptografa dados quando glide_encryption.set_value_support_cle.disabled é falso (requer MAPA); grava dados não criptografados quando definido como verdadeiro (nenhum MAPA necessário), quando glide_encryption.set_value_support_cle.disabled é verdadeiro.	Nome - Nome do campo. Valor - Valor do campo.	Booliano

O script a seguir ilustra mudanças de API quando a descrição resumida do incidente é criptografada:


var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value

Quando o plug-in Criptografia de campo estiver instalado, glide_encryption.set_value_support_cle.disabled é definido como falso por padrão.

Quando você liga Valor() em um campo de texto criptografado, ele retorna o texto simples se você tiver acesso ao módulo criptográfico; caso contrário, ele retorna o texto cifrado ou nulo .