Państwa członkowskie UE będą wydawać Europejskie Portfele Tożsamości Cyfrowej na podstawie rozporządzenia eIDAS2. Tekst proponowanej regulacji został opublikowany w połowie 2021 roku i obecnie jest w trakcie konsultacji wspieranych przez techniczną grupę ekspercką.
W propozycji zmian regulacji zdefiniowano Europejski Portfel Cyfrowej Tożsamości jako produkt i usługę, które umożliwiają użytkownikowi przechowywanie danych dotyczących tożsamości, danych uwierzytelniających i atrybutów związanych z jego tożsamością, udostępnianie ich stronom ufającym na żądanie i wykorzystywanie ich do uwierzytelniania w trybie online i offline, a także składanie kwalifikowanych podpisów i pieczęci elektronicznych.
Portfel będzie przechowywał dane identyfikacyjne osoby oraz zestaw poświadczeń atrybutów, aby udostępnić je selektywnie na żądanie usługom online i offline (stronom ufającym).
Miliony obywateli europejskich będą używać portfele do identyfikacji i uwierzytelniania w usługach online, takich jak banki, telekomunikacja i inne duże platformy internetowe. Spektrum przypadków użycia będzie bardzo różne w wielu usługach i transakcjach online.
Najczęstsze przypadki użycia Europejskiego Portfela Tożsamości Cyfrowej:
- Identyfikacja użytkownika do nowej usługi w celu rejestracji
- Uwierzytelnienie użytkownika powracającego do usługi online
- Płatności i dostęp do konta bankowego
- Prezentacja atrybutów w celu potwierdzenia wykształcenia, wieku, zatrudnienia
- Akceptacja składania podpisu elektronicznego
Każde rozwiązanie techniczne, jeśli ma być jednocześnie użyteczne i bezpieczne, musi bardzo jasno komunikować użytkownikowi cel jego zastosowania. Tylko zarejestrowane strony ufające (portale i usługi w internecie) mogą uzyskać dostęp do Europejskiego Portfela Cyfrowej Tożsamości, a pierwszą czynnością wykonywaną przez portfel jest uwierzytelnienie Strony Ufającej. Następnie portfel przekazuje informacje o Stronie Ufającej, celu wniosku i atrybutach, o które wnioskuje.
Świadomość użytkowników portfela jest krytyczna dla bezpiecznych transakcji, w szczególności dotyczy sposobu używania portfela, informacji kto otrzyma ich dane i w jakim celu będą one przetwarzane. Te informacje i późniejsza akceptacja transakcji powinny być przedstawione ze wszystkimi szczegółami.
Analizując różne przypadki użycia portfela, wyróżniliśmy trzy ogólne funkcje portfela do prezentacji danych:
- Identyfikacja
- Autoryzacja
- Wybór
Identyfikacja
|  |
Autoryzacja
|
Wybór
|  |
Jeśli funkcje portfela zostaną jasno określone, to pozwoli to na obsłużenie wielu przypadków biznesowych i różnych transakcji bez konieczności instalowania dodatkowych aplikacji. Identyfikacja jest najbardziej rozpoznawalna i używana w różnych usługach, ale autoryzacja otworzy portfel na transakcje, w których oczekiwana jest zgoda użytkownika (np. płatność, zgoda na przetwarzanie danych, rejestracja w usłudze).
Jeżeli oczekiwana jest płatność z informacją, że transakcję wykonuje osoba pełnoletnia, to można to zrobić w następujący sposób.
Nawet w przypadku wydania kwalifikowanego certyfikatu podpisu elektronicznego oczekiwana jest zgoda. Poniższy rysunek przedstawia jedną transakcję potwierdzającą dane i zgodę na wystawienie kwalifikowanego certyfikatu do podpisu.
Przy wyborze atrybutów można wybierać pomiędzy kilkoma atrybutami tego samego typu. Jeśli posiadasz dwa certyfikaty lub poświadczenia dla kilku banków, możesz wybrać ten preferowany. Portfel pozwoli Ci na przekazanie tych bezpiecznych informacji stronie ufającej.
W artykule przedstawiono propozycję wyróżnienia trzech funkcji Europejskiego Portfela Tożsamości Cyfrowej, rodzaju żądania oraz sposobu prezentacji użytkownikowi. Te ogólne funkcje pozwalają na użycie portfela w różnych transakcjach i zastosowanie w usługach online lub offline – publicznych i komercyjnych.
Data publikacji: 15.02.2022