ENFORCING MULTI-OWNERSHIP OF DATA ON STORAGE

A computer-implemented method for providing a secure data access service that encrypts data is disclosed. The method includes: wrapping a data encryption key by at least two customer root keys, wherein the at least two customer root keys are assigned to different user identifiers, and wherein the at least two customer root keys are stored in different hardware security modules, and wherein a wrapping structure for the at least two customer root keys is applied according to an access policy that defines which of the assigned user identifiers must concur to enable a data access to the encrypted data by the secure data access service; and encrypting the data by the secure data access service using the unwrapped data encryption key. L'invention concerne un procédé mis en œuvre par ordinateur pour fournir un service d'accès aux données sécurisé qui chiffre les données. Le procédé comprend : l'enveloppement d'une clé de chiffrement de données par au moins deux clés racine de client, dans lequel les au moins deux clés racine de client sont attribuées à différents identifiants d'utilisateur, et dans lequel les au moins deux clés racine de client sont stockées dans différents modules de sécurité matérielle, et dans lequel une structure d'enveloppement pour les au moins deux clés racine de client est appliquée conformément à une politique d'accès qui définit lequel des identifiants d'utilisateur attribués doit concourir pour permettre un accès aux données chiffrées par le service d'accès sécurisé aux données; et le chiffrement des données par le service d'accès sécurisé aux données à l'aide de la clé de chiffrement de données non enveloppée.