Ajatusjohtajat

Rakentaminen turvallinen ja sÀÀntelyn mukainen identiteetin verifiointi eIDAS 2.0:n aikakaudella

mm
Julkaistu

Ympäri Euroopan unionia, eIDAS (sähköinen tunnistautuminen, todennus ja luottamukselliset palvelut) on yksi avainasioista, jotka määrittelevät, miten kansalaiset, yritykset ja viranomaiset ovat vuorovaikutuksessa toistensa kanssa digitaalisessa ympäristössä. Vuonna 2016 hyväksytty eIDAS asettaa standardeja sähköiselle tunnistamiselle ja luo oikeudellisen varmuuden digitaalisille vuorovaikutuksille koko unionissa.

Päivitetty versio (eIDAS 2.0) toi useita olennaisia ominaisuuksia alkuperäiseen eIDAS-kehykseen. Ensinnäkin se esitteli Euroopan digitaalisen identiteetin lompakkoratkaisun, jonka jokaisen EU-jäsenvaltion on tehtävä saataville kansalaisilleen vuoden 2026 loppuun mennessä. Lompakko on tarkoitettu helpottamaan digitaalista vuorovaikutusta rajojen yli entisestään, koska se mahdollistaa henkilöiden tunnistamisen, vahvistetun tiedon tallentamisen ja jakamisen sekä pääsyn sekä julkisiin että yksityisiin palveluihin.

Kuitenkin, kun digitaalinen rekisteröinti muuttuu yhä standardoidummaksi, yritysten on mietittävä, miten heidän tunnistusjärjestelmänsä on rakennettu. Se, mitä todella on merkittävää, on se, voidaanko herkillä käyttäjätiedoilla käydä ilman, että ne poistuvat turvallisen sisäympäristön ulkopuolelle joko paikallisesti tai laitteistopohjaisesti. Yritysten kannalta tämä tarkoittaa, että KYC-työnkulkujen sovittaminen uuteen kehykseen on vain osa tehtävää. Yhtä tärkeää on valita teknologioita, jotka tukevat sääntelynmukaista toimintaa ilman herkkien henkilötietojen keräämistä ja siirtämistä missään vaiheessa.

eIDAS:n varmistustason ymmärtäminen

eIDAS-säännöt standardoivat, miten sähköiset tunnistuskeinot on annettava ja käytettävä, mikä teki digitaalisten palvelujen käyttöönotosta helppoa asiakkaille riippumatta siitä, mistä EU-maasta he tulevat. Kehys määrittelee kolme varmistustasoa (LoA) – kunkin sisältäen joukon standardeja sähköiselle tunnistamiselle. Nämä standardit ovat juuri ne, mitä KYC-palveluntarjoajien ja identiteetin verifiointiviranomaisten on sovitettava, jos he haluavat esittää itsensä eIDAS-yhdenmukaisiksi.

“Matala” taso tarjoaa perustason varmuuden väitetystä identiteetistä, “merkittävä” edellyttää tarkemmin tarkasteltuja tarkasteluja vähemmällä mahdollisuudella väärinkäytölle, ja “korkea” on tarkoitettu tarjoamaan maksimaalisen varmuuden, jota tukevat vahvimmat suojaukset identiteettivarkauksia vastaan. Yritykset valitsevat tarvitsemansa tason riskialttiuden, käsiteltävän tiedon herkkyuden ja muiden sovellettavien sääntelyvelvoitteiden perusteella.

eIDAS:n identiteetin verifiointistandardien päävahvuus ja -heikkous

Yksi eIDAS:n identiteetin verifiointistandardien päävahvuuksista on se, että ne luovat yhteisen kehyksen koko Euroopan unionille. Käytännössä tämä tarkoittaa, että identiteetin verifiointilähestymistapa, joka on suunniteltu eIDAS:n mukaiseksi, voidaan käyttää vahvana perustana toiminnalle eri EU-jäsenvaltioissa, sen sijaan, että se olisi rakennettava alusta alkaen kullekin maalle.

eIDAS:n identiteetin verifiointistandardien pääheikkous on, että ne eivät aktiivisesti tue paikallisten / laitteistopohjaisten verifiointiteknologioiden kehittämistä – niitä, jotka todella suojelevat kansalaisten henkilötietoja tietovuodoilta ja varmistavat kitkattomat identiteetin verifiointiprosessit. Kehykset, jotka sääntelevät tallennusta ja siirtämistä, voivat vähentää riskiä, mutta ne eivät poista itse riskialuetta. Jokainen kerta, kun identiteettitietoja kerätään tai siirretään, se luo uuden mahdollisuuden vuotamiselle, ja sääntelynmukainen yhdenmukaisuus yksin ei voi poistaa tämän haavoittuvuuden.

Näyttää siltä, että eIDAS luo yhtenäisen ja turvallisen identiteetin verifiointijärjestelmän koko Euroopassa. Monilla tavoin se luo todella yhdenmukaisemman ja mukavamman järjestelmän. Mutta merkitseekö tämä todella turvallisuutta? OCR Studion mielestä todellinen suoja voidaan tarjota vain teknologioilla, jotka eivät edellytä henkilötietojen tallentamista tai siirtämistä ensinnäkään. Identiteetin verifiointitapauksessa turvallisin arkkitehtuuri ei ole se, joka hallitsee herkkää tietoa huolellisemmin, vaan se, joka poistaa tarpeen käsitellä sitä lainkaan.

Turvallisen ja sääntelynmukaisen identiteetin verifiointijärjestelmän rakentaminen

Koska kunkin eIDAS:n varmistustason on suurimmaksi osaksi rakennettu periaatteelle, jossa vähennetään henkilötietojen tallentamista ja siirtämistä, paikalliset / laitteistopohjaiset teknologiat ovat tehokkain tapa rakentaa identiteetin verifiointijärjestelmä, joka on sekä sääntelynmukainen että aidosti turvallinen. Teknologisesta näkökulmasta nämä järjestelmät ylittävät suorituskyvyltään arkkitehtuureja, jotka riippuvat pilvi-infrastruktuurista tai ulkoisista palvelimista, koska ne eivät ole haavoittuvia kolmannen osapuolen katkoksiin ja voivat toimia jopa ilman vakaata internet-yhteyttä.

Alempana, käyttäen kolmea avain eIDAS-standardeja esimerkkinä, osoitamme, miten modernit laitteistopohjaiset teknologiat täyttävät täysin nämä identiteetin verifiointivaatimukset:

<i"Henkilö voidaan olettaa olevan hallussa todisteita, jotka tunnustetaan jäsenvaltiossa, jossa sähköisen identiteetin hakemus tehdään, ja jotka edustavat väitettyä identiteettiä"

Jotta voidaan vahvistaa, että käyttäjä on laillinen asiakirjan haltija, verifiointijärjestelmät suorittavat yleensä kasvokuvatarkastelun vertaamalla esittäjän kasvokuvaa asiakirjan valokuvalla. Laitteistopohjaiset järjestelmät suorittavat samat tarkastelut samalla tarkkuudella ilman herkkien biometristen tietojen siirtämistä. Jotkut laitteistopohjaiset järjestelmät pystyvät myös havaitsemaan esittämisen hyökkäykset, kun huijarit käyttävät näyttökaappauksia ja valokopioita – tämä varmistaa, että käyttäjä on todella läsnä.

<i"Todiste voidaan olettaa olevan aito, tai olemassa oleva viranomaisen lähteen mukaan, ja todiste näyttää olevan voimassa"

Jotta voidaan täyttää tämä vaatimus, identiteetin verifiointijärjestelmän on kyettävä arvioimaan, onko asiakirja, jonka käyttäjä esittää, aito ja voimassa. Jotkut laitteistopohjaiset ratkaisut tekevät tämän yhdistämällä asiakirjan tunnistamisen asiakirjan forensinen tarkasteluun. Yhden asiakirjan valokuvan perusteella ne voivat havaita erilaisia manipulaatioita, mukaan lukien deepfakes, AI-luotujen ja muokattujen asiakirjojen. Ne voivat myös tarkastaa voimassaoloaikoja ja ristivalvoa tietoja VIZ:stä, MRZ:stä ja NFC:stä, jotta voidaan tunnistaa epäjohdonmukaisuudet, jotka voivat osoittaa väärentämistä tai petosta.

<i"Pidä yllä ja suojaa tietoja niin kauan kuin ne ovat tarpeen turvallisuuden murtamisen ja tutkimisen tarkoituksiin, ja säilytä niitä turvallisesti hävittämisen jälkeen"

Tämä vaatimus ei ole siitä, että kaikki henkilötiedot tallennetaan oletusarvoisesti, vaan siitä, että järjestelmä on auditoitavissa. Todellinen haaste on arkkitehtoninen: miten identiteettitietoja voidaan käsitellä paikallisesti ilman, että jäljityskykyä vaarantuu? Meidän mielestämme tietoja ei pidä siirtää käsiteltäväksi, vaan ainoastaan tiukasti rajatuissa ja turvallisissa audititarkoituksissa. Tulevat lähestymistavat voivat sisältää valikoivan lokipitoisuuden, salatun auditin tai mekanismit, jotka säilyttävät jäljityskyvyn ilman, että paljastavat raakaa henkilötietoa. Tämä ei ole laitteistopohjaisen mallin rajoitus, vaan laajempi haaste seuraavalle sukupolvelle identiteetin verifiointijärjestelmille.

Kuten voit nähdä, paikalliset teknologiat täyttävät täysin avain eIDAS-vaatimukset välttäen kehysrakenteen pääheikkoutta. Koska ne eivät edellytä tietojen tallentamista tai siirtämistä, ne tarjoavat paljon vahvemman suojan henkilötietojen vuotoja vastaan kuin vaihtoehtoiset lähestymistavat. Nämä teknologiat voivat tukea identiteetin verifiointiprosesseja vaaditulla varmistustasolla, “matalasta” “korkeaan”.

Paikallinen arkkitehtuuri ylittää eIDAS:n sääntelyn

eIDAS-vaatimusten täyttäminen on välttämätöntä kaikille yrityksille, jotka toimivat EU:ssa. Sääntelynmukaisuus yksinään ei kuitenkaan riitä todellisen asiakastietojen suojelun taatakseen. Rakentamaan todella turvallista KYC:ta yritysten on tarkasteltava, mitä teknisiä ominaisuuksia heidän käyttämänsä identiteetin verifiointiratkaisut tarjoavat. Meidän mielestämme turvallisin valinta ei ole toimittaja, joka ainoastaan vähentää henkilötietojen keräämistä, vaan se, joka poistaa tarpeen kerätä ja siirtää tietoja kussakin vaiheessa.

mm

Konstantin Bulatov on tiedemies ja OCR Studion teknologiapÀÀllikkö, jossa hÀn on johtanut edistyneiden OCR-tekniikkojen kehittÀmistÀ ja toteuttamista. HÀn on suunnitellut menetelmÀn objektien tunnistamisen optimoimiseksi videovirroissa, mikÀ on parantanut reaaliaikaisen OCR-jÀrjestelmÀn tarkkuutta ja tehokkuutta. HÀnen johdollaan OCR Studio kehittÀÀ turvallisia laitteistopohjaisia ohjelmistoratkaisuja, jotka vastaavat moninaisia teollisuuden tarpeita ja edistÀvÀt alan kehitystÀ.

Konstantin on IEEE Senior Member, hÀn on kirjoittanut useita patenttihakemuksia ja julkaissut tutkimuksensa merkittÀvissÀ tieteellisissÀ konferensseissa ja lehdissÀ. HÀnen työnsÀ korostaa innovatiivisia lÀhestymistapoja korkean suorituskyvyn tunnistusjÀrjestelmien kehittÀmiseen, vahvistaen OCR Studion asemaa merkittÀvÀnÀ osallistujana maailmanlaajuisessa teknologiamaisemassa.