Tankeledare

Bygga sÀker och regelefterlevande identitetsverifiering i eIDAS 2.0-eran

mm
Publicerad

Över hela Europeiska unionen är eIDAS (elektronisk identifiering, autentisering och förtroendeservice) en av de viktigaste regleringarna som definierar hur medborgare, företag och myndigheter måste interagera med varandra i den digitala miljön. Antagen 2016, fastställer eIDAS standarder för elektronisk identifiering och skapar rättslig säkerhet för digitala interaktioner inom unionen.

Den uppdaterade versionen (eIDAS 2.0) införde flera viktiga funktioner i den ursprungliga eIDAS-ramen. Först och främst införde den den europeiska digitala identitetsplånboken som varje EU-medlemsstat måste göra tillgänglig för sina medborgare senast 2026. Plånboken är tänkt att förenkla digitala interaktioner över gränserna ännu mer eftersom den tillåter människor att identifiera sig, lagra och dela verifierade data samt komma åt både offentliga och privata tjänster.

Men när digital onboarding blir mer standardiserad, måste företag tänka inte bara på regelefterlevnad, utan också på hur deras verifikationssystem är byggda. Vad som verkligen spelar roll är om känsliga användaruppgifter kan bearbetas utan att någonsin lämna den säkra perimetern inom on-premise- eller on-device-arkitektur. För företag innebär detta att anpassa KYC-arbetsflöden till den nya ramen är bara en del av uppgiften. Lika viktigt är att välja teknologier som stöder regelefterlevnad utan att lagra och överföra känsliga uppgifter någonstans.

Att förstå eIDAS nivåer av säkerhet

eIDAS-regler standardiserade hur elektroniska identifieringsmedel måste utfärdas och användas, vilket gjorde onboarding i digitala tjänster smidig för kunder oavsett vilket EU-land de kommer från. Ramen definierar tre nivåer av säkerhet (LoA) – var och en innehåller en uppsättning standarder för elektronisk identifiering. Detta är exakt vad KYC-leverantörer och identitetsverifieringsleverantörer behöver anpassa sig till om de vill presentera sig som eIDAS-kompatibla.

“Låg” nivå erbjuder en grundläggande grad av säkerhet om en påstådd identitet, “väsentlig” kräver mer rigorösa kontroller med färre chanser till missbruk, och “hög” är tänkt att ge maximal säkerhet, backad av de starkaste skydden mot identitetsbedrägeri. Företag väljer den nivå de behöver baserat på sin riskexponering, känsligheten i de uppgifter de hanterar och eventuella andra regleringskrav som gäller för deras tjänster.

Den viktigaste styrkan och svagheten i eIDAS identitetsverifieringsstandarder

En av de viktigaste styrkorna i eIDAS identitetsverifieringsstandarder är att de skapar en gemensam ram för hela Europeiska unionen. I praktiken innebär detta att en identitetsverifieringsansats som är utformad för att anpassa sig till eIDAS kan fungera som en stark grund för att verka i olika EU-medlemsstater, snarare än att byggas om från scratch för varje land.

Den viktigaste svagheten i eIDAS identitetsverifieringsstandarder, enligt vår mening, är att de inte aktivt stöder utvecklingen av on-premise- / on-device-verifieringsteknologier – de som verkligen skyddar medborgarnas personuppgifter från dataintrång och säkerställer smidiga identitetsverifieringsarbetsflöden. Ramar som reglerar lagring och överföring kan minska risken, men de tar inte bort riskytan i sig. Varje gång identitetsuppgifter samlas in eller överförs, skapas en ny möjlighet för läckage, och regelefterlevnad ensam kan inte helt och hållet ta bort den här sårbarheten.

Det kan tyckas som att eIDAS bygger ett enhetligt och säkert identitetsverifieringssystem över hela Europa. På många sätt skapar det verkligen ett mer konsekvent och bekvämt system. Men betyder det verkligen säkerhet? På OCR Studio tror vi att verklig skydd kan endast tillhandahållas av teknologier som inte kräver att personuppgifter lagras eller överförs från första början. I identitetsverifiering är den säkraste arkitekturen inte den som hanterar känsliga uppgifter mer noggrant, utan den som tar bort behovet av att hantera dem alls.

Att bygga en säker och regelefterlevande identitetsverifiering

Eftersom varje eIDAS-säkerhetsnivå i stor utsträckning byggs kring principen att minimera lagring och överföring av personuppgifter, är on-premise- / on-device-teknologier det mest effektiva sättet att bygga ett identitetsverifieringssystem som är både regelefterlevande och genuint säkert. Ur ett tekniskt perspektiv presterar sådana system bättre än arkitekturer som förlitar sig på molninfrastruktur eller externa servrar, eftersom de inte är sårbara för tredjepartsavbrott och kan fungera även utan en stabil internetanslutning.

Nedan, med hjälp av tre av de viktigaste eIDAS-standarderna som exempel, visar vi hur moderna on-device-teknologier fullt ut uppfyller dessa identitetsverifieringskrav:

“Personen kan antas vara i besittning av bevis som erkänns av den medlemsstat där ansökan om elektroniska identitetsmedel görs och som representerar den påstådda identiteten”

För att verifiera att användaren är den legitima dokumentinnehavaren, utför vanligtvis verifieringssystem selfie-till-ID-kontroller genom att jämföra presentörens selfie med ID-fotot. On-device-system utför samma kontroller med samma noggrannhet utan att överföra känsliga biometrisk data någonstans. Vissa on-device-system kan dessutom upptäcka presentationsattacker när bedragare använder skärmbilder och fotokopior – detta säkerställer att användaren verkligen är närvarande.

“Beviset kan antas vara äkta, eller finnas enligt en auktoritativ källa och beviset verkar vara giltigt”

För att uppfylla detta krav, måste ett identitetsverifieringssystem du väljer kunna bedöma om dokumentet som presenteras av användaren verkar äkta och giltigt. Vissa on-device-lösningar gör detta genom att kombinera ID-igenkänning med dokumentforensiska teknologier. Baserat på en enda dokumentfoto, kan de upptäcka olika manipulationer, inklusive deepfakes, AI-genererade och morfiska ID. De kan också kontrollera giltighetsperioder och korsvalidera data från VIZ, MRZ och NFC för att identifiera oförenligheter som kan indikera manipulering eller bedrägeri.

“Behåll, så långt det är tillåtet enligt nationell lag eller annan nationell administrativ ordning, och skydda register så länge de behövs för syftet med granskning och utredning av säkerhetsbrott, och kvarhållande, varefter registren ska förstöras på ett säkert sätt”

Detta krav handlar inte om att lagra alla personuppgifter som standard, utan om att hålla systemet granskningsbart. Den verkliga utmaningen är arkitektonisk: hur kan identitetsuppgifter bearbetas lokalt medan spårbarhet bevaras? Enligt vår mening bör uppgifter inte överföras för bearbetning, utan endast för strikt begränsade och säkra revisionsändamål. Framtida tillvägagångssätt kan inkludera selektiv loggning, krypterade revisionsregister eller mekanismer som bevarar granskningsbarhet utan att avslöja råa personuppgifter. Detta är inte en begränsning av on-device-modellen, utan en bredare utmaning för nästa generation av identitetsverifieringssystem.

Som du kan se, on-premise-teknologier uppfyller fullt ut de viktigaste eIDAS-kraven samtidigt som de undviker ramens viktigaste svaghet. Eftersom de inte kräver data lagring eller överföring, erbjuder de ett mycket starkare skydd mot personuppgiftsläckage än alternativa tillvägagångssätt. Sådana teknologier kan stödja identitetsverifieringsarbetsflöden på vilken nivå av säkerhet som krävs, från “låg” till “hög”.

On-premise-arkitektur går utöver eIDAS-efterlevnad

Att uppfylla eIDAS-kraven är avgörande för alla företag som verkar inom EU. Men regelefterlevnad ensam räcker inte för att garantera verkligt skydd av kunduppgifter. För att bygga en verkligt säker KYC, måste företag titta bortom formell regelefterlevnad och ge nära uppmärksamhet åt de tekniska egenskaperna hos de identitetsverifieringslösningar de använder. Enligt vår mening är det säkraste valet inte en leverantör som bara minimerar insamling av personuppgifter, utan en som tar bort behovet av att samla in och överföra uppgifter på varje stadium.

mm

Konstantin Bulatov Àr en vetenskapsman och teknisk chef för OCR Studio, dÀr han har lett utvecklingen och implementeringen av avancerad OCR-teknologi. Han har designat en metod för att optimera objekterkÀnning i videostreams, vilket har förbÀttrat noggrannheten och effektiviteten i realtids-OCR-system. Under hans ledning utvecklar OCR Studio sÀkra programmeringslösningar för enheter som tillgodoser olika branschbehov och bidrar till framsteg inom omrÄdet.

Konstantin Àr en senior medlem i IEEE, han har skrivit flera patentansökningar och publicerat sin forskning i framstÄende akademiska konferenser och tidskrifter. Hans arbete betonar innovativa tillvÀgagÄngssÀtt för att utveckla högpresterande erkÀnnandessystem, vilket förstÀrker OCR Studios position som en betydande bidragsgivare till den globala teknologiska landskapsbilden.