ผู้นำทางความคิด

การสร้างการยืนยันตัวตนแบบปลอดภัยและถูกต้องตามมาตรฐาน eIDAS ในยุค eIDAS 2.0

mm
เผยแพร่

ทั่วทั้งสหภาพยุโรป eIDAS (การระบุตัวตนแบบอิเล็กทรอนิกส์ การตรวจสอบ และบริการความไว้วางใจ) เป็นหนึ่งในข้อกำหนดที่สำคัญที่กำหนดว่าพลเมือง ธุรกิจ และหน่วยงานต่างๆ จะต้องโต้ตอบกันใน môi trườngดิจิทัลอย่างไร การนำมาใช้ในปี 2016 eIDAS ตั้งมาตรฐานสำหรับการระบุตัวตนแบบอิเล็กทรอนิกส์ และสร้างความมั่นใจทางกฎหมายสำหรับการโต้ตอบดิจิทัลทั่วทั้งสหภาพ

รุ่นที่อัปเดต (eIDAS 2.0) นำคุณสมบัติที่สำคัญหลายอย่างมาให้กับเฟรมเวิร์ก eIDAS เดิม ก่อนอื่น มันนำ กระเป๋าสตางค์เอกลักษณ์ดิจิทัลของยุโรป ที่แต่ละรัฐสมาชิกของสหภาพยุโรปต้องทำให้พร้อมใช้งานสำหรับพลเมืองของตนภายในสิ้นปี 2026 กระเป๋าสตางค์นี้มีจุดมุ่งหมายเพื่อทำให้การโต้ตอบดิจิทัลข้ามพรมแดนง่ายขึ้น เนื่องจากช่วยให้คนสามารถระบุตัวตนเก็บข้อมูลที่ตรวจสอบแล้ว และเข้าถึงบริการสาธารณะและเอกชน

อย่างไรก็ตาม เมื่อการบอร์ดดิจิทัลกลายเป็นมาตรฐานมากขึ้น ธุรกิจต่างๆ ต้องคิดไม่เพียงแต่เรื่องการปฏิบัติตามข้อกำหนด แต่ยังรวมถึงวิธีการสร้างระบบการยืนยันตัวตนของตน ดังนั้น สิ่งที่สำคัญจริงๆ คือว่าข้อมูลผู้ใช้ที่ละเอียดอ่อนสามารถประมวลผลได้โดยไม่ต้องออกจากขอบเขตที่ปลอดภัยภายในโครงสร้างพื้นฐานบนเครื่องหรืออุปกรณ์ สำหรับธุรกิจ นี่หมายความว่าการทำให้กระบวนการ KYC สอดคล้องกับเฟรมเวิร์กใหม่นั้นเป็นเพียงส่วนหนึ่งของงานเท่านั้น สิ่งที่สำคัญไม่แพ้กันคือการเลือกเทคโนโลยีที่สนับสนุนการปฏิบัติตามข้อกำหนด โดยไม่ต้องเก็บข้อมูลส่วนบุคคลหรือส่งผ่านใดๆ ที่จุดใด

การทำความเข้าใจระดับการรับรอง eIDAS

กฎของ eIDAS มาตรฐานวิธีการออกและใช้การระบุตัวตนแบบอิเล็กทรอนิกส์ ทำให้การบอร์ดดิจิทัลในบริการดิจิทัลเป็นไปอย่างราบรื่นสำหรับลูกค้า ไม่ว่าพวกเขาจะมาจากประเทศใดในยุโรป เฟรมเวิร์กนี้กำหนด ระดับการรับรอง (LoA) 3 ระดับ – แต่ละระดับมีมาตรฐานสำหรับการระบุตัวตนแบบอิเล็กทรอนิกส์ มาตรฐานเหล่านี้คือสิ่งที่ผู้ให้บริการ KYC และผู้ให้บริการการยืนยันตัวตนต้องสอดคล้องกัน หากต้องการนำเสนอตัวเองว่าเป็นไปตามมาตรฐาน eIDAS

“ระดับต่ำ” มอบระดับความมั่นใจขั้นพื้นฐานเกี่ยวกับตัวตน “ระดับมาก” ต้องการการตรวจสอบอย่างเข้มงวดมากขึ้น โดยมีโอกาสที่จะถูกใช้ในทางที่ผิดน้อยลง และ “ระดับสูง” มีจุดมุ่งหมายเพื่อมอบการรับรองสูงสุด โดยมีการป้องกันที่แข็งแกร่งที่สุดต่อการฉ้อโกงทางอัตลักษณ์ บริษัทต่างๆ เลือกระดับที่ต้องการตามการเปิดรับความเสี่ยงของตน ความละเอียดอ่อนของข้อมูลที่จัดการ และข้อกำหนดด้านกฎระเบียบที่ใช้กับบริการของตน

จุดแข็งและจุดอ่อนหลักของมาตรฐานการยืนยันตัวตนด้วย eIDAS

จุดแข็งหลักของมาตรฐานการยืนยันตัวตนด้วย eIDAS คือการสร้างเฟรมเวิร์กที่ใช้ร่วมกันสำหรับสหภาพยุโรปทั้งหมด ในทางปฏิบัติ หมายความว่า แนวทางการยืนยันตัวตนที่ออกแบบมาเพื่อสอดคล้องกับ eIDAS สามารถใช้เป็นพื้นฐานที่แข็งแกร่งสำหรับการดำเนินงานในประเทศสมาชิกสหภาพยุโรปต่างๆ แทนที่จะสร้างใหม่สำหรับแต่ละประเทศ

จุดอ่อนหลักของมาตรฐานการยืนยันตัวตนด้วย eIDAS ในความคิดเห็นของเรา คือไม่สนับสนุนการ разработ on-premise / on-device เทคโนโลยีการยืนยันตัวตน – ซึ่งเป็นเทคโนโลยีที่ปกป้องข้อมูลส่วนบุคคลของพลเมืองจากเหตุการณ์การรั่วไหลข้อมูลและรับประกันกระบวนการยืนยันตัวตนที่ไม่มีข้อผิดพลาด Frameworks ที่ควบคุมการเก็บข้อมูลและการส่งผ่านอาจลดความเสี่ยง แต่ ไม่สามารถกำจัดพื้นผิวความเสี่ยงได้ ทุกครั้งที่ข้อมูลตัวตนถูกเก็บหรือส่งผ่าน จะสร้างโอกาสใหม่สำหรับการรั่วไหล และ การปฏิบัติตามข้อกำหนดด้านกฎระเบียบเพียงอย่างเดียวไม่สามารถกำจัดความอ่อนไหวนั้นได้

อาจดูเหมือนว่า eIDAS กำลังสร้างระบบนิเวศการยืนยันตัวตนที่เป็นเอกภาพและปลอดภัยทั่วยุโรป ในหลายๆ ด้าน มันกำลังสร้างระบบที่สอดคล้องกันและสะดวกสบายมากขึ้น แต่สิ่งนี้หมายความว่าปลอดภัยหรือไม่? ที่ OCR Studio เราเชื่อว่าการปกป้องที่แท้จริงสามารถส่งมอบได้โดย เทคโนโลยี ที่ไม่ต้องการการเก็บหรือส่งผ่านข้อมูลส่วนบุคคลในตอนแรก ในการยืนยันตัวตน ระบบสถาปัตยกรรมที่ปลอดภัยที่สุดไม่ใช่ระบบที่จัดการข้อมูลที่ละเอียดอ่อนได้ดีขึ้น แต่ ระบบที่กำจัดความจำเป็นในการจัดการข้อมูลที่จุดใด

วิธีการสร้างการยืนยันตัวตนที่ปลอดภัยและถูกต้องตามมาตรฐาน

เนื่องจากแต่ละระดับการรับรองของ eIDAS มักจะสร้างขึ้นโดยหลักการลดการเก็บและการส่งผ่านข้อมูลส่วนบุคคล เทคโนโลยี on-premise / on-device จึงเป็นวิธีที่มีประสิทธิภาพที่สุดในการสร้างระบบการยืนยันตัวตนที่ปลอดภัยและถูกต้องตามมาตรฐาน จากมุมมองทางเทคนิค ระบบเหล่านี้มีประสิทธิภาพเหนือกว่าโครงสร้างพื้นฐานที่พึ่งพาโครงสร้างพื้นฐานบนคลาวด์หรือเซิร์ฟเวอร์ภายนอก เนื่องจากไม่เสี่ยงต่อการหยุดทำงานของบุคคลที่สามและสามารถทำงานได้แม้ไม่มีการเชื่อมต่ออินเทอร์เน็ตที่เสถียร

ด้านล่าง โดยใช้มาตรฐาน eIDAS ที่สำคัญสามข้อเป็นตัวอย่าง เราจะแสดงว่าเทคโนโลยี on-device รุ่นใหม่สอดคล้องกับข้อกำหนดการยืนยันตัวตนด้วยวิธีนี้:

“บุคคลสามารถถือว่าเป็นเจ้าของหลักฐานที่รัฐสมาชิกที่กำลังยื่นคำขอสำหรับการระบุตัวตนแบบอิเล็กทรอนิกส์ยอมรับและแสดงถึงตัวตนที่อ้างสิทธิ์”

เพื่อยืนยันว่าผู้ใช้เป็นเจ้าของเอกสารที่ถูกต้อง ระบบการยืนยันตัวตนจะดำเนินการตรวจสอบตัวตนโดยการเปรียบเทียบภาพถ่ายของเอกสารกับภาพถ่ายของตัวตน On-device ระบบดำเนินการตรวจสอบในลักษณะเดียวกัน โดยไม่ต้องส่งผ่านข้อมูลชีวมิติที่ละเอียดอ่อนใดๆ ระบบ on-device บางระบบสามารถ ตรวจจับการโจมตีด้วยการนำเสนอ เมื่อผู้ฉ้อโกงใช้การบันทึกหน้าจอและสำเนา – สิ่งนี้รับประกันว่าผู้ใช้จะอยู่ในสถานะที่แท้จริง

“หลักฐานสามารถถือว่าเป็นของแท้ หรือมีอยู่ตามแหล่งข้อมูลที่มีอำนาจ และหลักฐานดูเหมือนจะถูกต้อง”

เพื่อตอบสนองข้อกำหนด này ระบบการยืนยันตัวตนที่คุณเลือกจะต้องสามารถประเมินได้ว่าเอกสารที่นำเสนอโดยผู้ใช้ดูเหมือนจะเป็นของแท้และถูกต้อง ระบบ on-device บางระบบทำสิ่งนี้โดยการรวมการรู้จำเอกสารเข้ากับเทคโนโลยีการวิเคราะห์เอกสาร โดยอาศัยภาพถ่ายเอกสารเพียงภาพเดียว สามารถตรวจจับการแก้ไขต่างๆ รวมถึง deepfakes, AI ที่สร้างขึ้น และเอกสารที่ถูกเปลี่ยนแปลงรูปทรง พวกเขายังสามารถตรวจสอบช่วงเวลาความถูกต้องและตรวจสอบข้อมูลจาก VIZ, MRZ และ NFC เพื่อระบุความไม่สอดคล้องที่อาจบ่งบอกถึงการปลอมแปลงหรือการฉ้อโกง

“เก็บรักษาให้มากที่สุดเท่าที่กฎหมายหรือการเตรียมการบริหารระดับชาติยอมรับ และปกป้องบันทึกเป็นเวลานานเท่าที่จำเป็นสำหรับการตรวจสอบและสอบสวนการละเมิดความปลอดภัย และการเก็บรักษา หลังจากนั้นบันทึกจะต้องถูกทำลายอย่างปลอดภัย”

ข้อกำหนด nàyไม่เกี่ยวกับการเก็บข้อมูลส่วนบุคคลทั้งหมดโดยอัตโนมัติ แต่เกี่ยวกับการรักษาความสามารถในการตรวจสอบของระบบ ความท้าทายที่แท้จริงคือโครงสร้างพื้นฐาน: วิธีการประมวลผลข้อมูลตัวตนในท้องถิ่นโดยที่ความสามารถในการตรวจสอบยังคงอยู่ ในความคิดเห็นของเรา ข้อมูลไม่ควรถูกส่งผ่านสำหรับการประมวลผล แต่ควรส่งผ่านเพียงสำหรับวัตถุประสงค์ในการตรวจสอบและความปลอดภัยเท่านั้น วิธีการที่จะเกิดขึ้นในอนาคตอาจรวมถึงการบันทึกแบบเลือก การบันทึกการตรวจสอบที่เข้ารหัส หรือกลไกที่รักษาความสามารถในการตรวจสอบโดยไม่ทำให้ข้อมูลส่วนบุคคลที่ไม่ผ่านการประมวลผลตกอยู่ในความเสี่ยง สิ่งนี้ไม่ใช่ข้อจำกัดของแบบจำลอง on-device แต่เป็นความท้าทายที่กว้างขึ้นสำหรับระบบการยืนยันตัวตนที่จะเกิดขึ้นในอนาคต

เมื่อคุณเห็นแล้วว่า เทคโนโลยี on-premise ตอบสนองข้อกำหนดหลักของ eIDAS ในขณะเดียวกันก็หลีกเลี่ยงจุดอ่อนหลักของเฟรมเวิร์กด้วย เนื่องจากไม่ต้องการการเก็บหรือการถ่ายโอนข้อมูล จึงมอบการป้องกันที่แข็งแกร่งกว่าแนวทางอื่นๆ เทคโนโลยีเหล่านี้สามารถรองรับกระบวนการยืนยันตัวตนที่ระดับการรับรองที่ต้องการ ตั้งแต่ “ต่ำ” ถึง “สูง”

สถาปัตยกรรม on-premise มากกว่าความสอดคล้องกับ eIDAS

การปฏิบัติตามข้อกำหนดของ eIDAS เป็นสิ่งจำเป็นสำหรับบริษัทใดๆ ที่ดำเนินงานใน EU อย่างไรก็ตาม การปฏิบัติตามข้อกำหนดเพียงอย่างเดียวไม่เพียงพอในการรับประกันการปกป้องข้อมูลลูกค้าที่แท้จริง เพื่อสร้าง KYC ที่ปลอดภัยจริงๆ บริษัทต่างๆ ต้อง มองไปไกลกว่าการปฏิบัติตามข้อกำหนดอย่างเป็นทางการและให้ความสนใจอย่างใกล้ชิดกับคุณลักษณะทางเทคนิคของโซลูชันการยืนยันตัวตนที่ใช้ ในความคิดเห็นของเรา การเลือกที่ปลอดภัยที่สุดไม่ใช่ผู้ขายที่ลดการเก็บข้อมูลส่วนบุคคลให้เหลือน้อยที่สุด แต่เป็นผู้ที่ กำจัดความจำเป็นในการเก็บและถ่ายโอนข้อมูลนั้นที่ทุกขั้นตอน

mm

คอนสแตนติน บูลาตอฟ เป็นนักวิทยาศาสตร์และประธานเจ้าหน้าที่เทคโนโลยีของ OCR Studio ซึ่งเขานำการพัฒนาและใช้งานเทคโนโลยี OCR ขั้นสูง เขาได้ออกแบบวิธีการเพื่อเพิ่มประสิทธิภาพการรู้จำวัตถุในกระแสวิดีโอ ซึ่งได้ปรับปรุงความแม่นยำและประสิทธิภาพของระบบ OCR ในเวลาจริง ภายใต้การกำกับดูแลของเขา OCR Studio พัฒนาโซลูชันการเขียนโปรแกรมบนอุปกรณ์ที่ปลอดภัยซึ่งแก้ไขความต้องการของอุตสาหกรรมที่หลากหลายและช่วยให้เกิดความก้าวหน้าในด้านเทคโนโลยี

คอนสแตนตินเป็นสมาชิกอาวุโสของ IEEE เขาได้เขียนขออนุญาตสิทธิบัตรหลายรายการและตีพิมพ์ผลงานวิจัยของเขาในงานประชุมและวารสารวิชาการที่มีชื่อเสียง ผลงานของเขาเน้นย้ำถึงแนวทางใหม่ๆ ในการพัฒนาระบบการรู้จำที่มีประสิทธิภาพสูง ซึ่งเสริมสร้างตำแหน่งของ OCR Studio ในฐานะผู้มีส่วนร่วมที่สำคัญในภูมิทัศน์เทคโนโลยีระดับโลก