Kto może czytać portfel cyfrowej tożsamości
Europejski Portfel Cyfrowej Tożsamości to rozwiązanie, które pozwoli obywatelom w bezpieczny sposób udostępniać własne dane osobowe oraz atrybuty i informacje o uprawnieniach. Portfel będzie mógł posiadać każdy mieszkaniec Unii Europejskiej i posługiwać się nim w usługach publicznych i prywatnych. Usługi korzystające z danych udostępnianych za pomocą portfela to strony ufające, które będą musiały być zarejestrowane i uwierzytelnione wobec portfela.
Dane osobowe
Bezpieczeństwo i ochrona danych osobowych na każdym etapie ich przetwarzania to główne wymagania stawiane przed cyfrowym portfelem. Portfel stanie się powszechnym narzędziem do udostępniania własnych danych różnym podmiotom uwierzytelniania właściciela portfela oraz potwierdzania transakcji w usługach. Projekt ten uda się tylko wtedy, gdy całość procesu udostępniania danych będzie odpowiednio zabezpieczona i odporna na ew. ataki.
Wykorzystanie portfela w usługach
Strony ufające będą miały możliwość komunikowania się z Europejskim Portfelem Cyfrowej Tożsamości w celu identyfikacji elektronicznej, uzyskania atrybutów tożsamości lub wykonania innych funkcji portfela np. składania kwalifikowanego podpisu elektronicznego. Strona ufająca podlegać będzie obowiązkowej rejestracji w kraju członkowskim Unii Europejskiej, w którym ma siedzibę. Celem rejestracji jest ograniczenie dostępu do funkcji portfela nieuprawnionym podmiotom, zmniejszenie ryzyka kradzieży danych lub nieuprawnionego ich przetwarzania. Zarówno portfel jak i obywatel będzie wiedział, kto i w jakim celu chce uzyskać dostęp do danych portfela.
Schemat dostępu do danych portfela
Usługa dostępna online w celu wykorzystania danych z portfela będzie mogła wyświetlić QRCode, który po zeskanowaniu portfelem umożliwili rozpoczęcie komunikacji bezpośredniej pomiędzy usługą a portfelem. Pierwszym elementem tej komunikacji będzie uwierzytelnienie strony ufającej (właściciela) usługi żądającej dostępu do portfela. Po uwierzytelnieniu użytkownik portfela zostanie poinformowany o prośbie o udostępnienie danych identyfikujących osobę i potwierdzeń atrybutów. Dopiero po wyrażeniu zgody dane zostaną przez portfel udostępnione stronie ufającej.
Identyfikacja i uwierzytelnienie strony ufającej
Strona ufająca, aby móc wnioskować o informacje pochodzące z portfela musi sama przedstawić wiarygodne informacje o swojej tożsamości. Zgodnie z projektem nowelizacji rozporządzenia eIDAS zostanie ustanowiony jednolity mechanizm umożliwiający uwierzytelnienie i identyfikację strony ufającej wobec Europejskiego Portfela Cyfrowej Tożsamości. Dzięki zidentyfikowaniu strony ufającej przez portfel użytkownik zanim zezwoli na udostępnienie danych z portfela będzie wiedział kto ich żąda. Informacja ta zostanie wyświetlona bezpośrednio na urządzeniu mobilnym obsługującym portfel, dodatkowo portfel ma wyświetlić cel użycia danych oraz przedstawić zakres oczekiwanych danych z portfela.
Wiarygodność stron ufających
Zgodnie z rozporządzeniem eIDAS każdy podmiot może zostać stroną ufającą i korzystać z portfela. Jednakże bezpieczne korzystanie z portfela wymaga, aby użytkownik portfela miał świadomość komu udostępni dane, ta informacja nie powinna ograniczać się jedynie do nazwy podmiotu, ale także jego poziomu wiarygodności. Poziom wiarygodności strony ufającej powinien być osobną informacją, która jednoznacznie informuje użytkownika portfela o statusie usługi, której będzie udostępniał dane. Ustalenie wiarygodności zależy od rodzaju prowadzonej działalności. Na indywidualną ocenę wiarygodności może wpływać np. kraj, w którym podmiot świadczący usługę ma siedzibę – wynika to choćby z uwarunkowań prawnych świadczenia niektórych usług.
Informowanie o wiarygodności stron ufających
Użytkownik portfela cyfrowej tożsamości powinien otrzymać wiarygodny komunikat o stronie ufającej, zanim jej udostępni dane. Podanie samej nazwy strony ufającej może być mylące, ponieważ nazwa może zwierać informacje sugerujące inny rodzaj działalności niż w rzeczywistości realizowana np. Bank informacji, Agencja usług zaufania, Miasto Poznań. Właściwa identyfikacja będzie zawierała nie tylko nazwę pomiotu, ale także atrybut określający poziom wiarygodności danego podmiotu.
Podmioty o najwyższej wiarygodności
Spośród wielu podmiotów, które świadczą usługi w internecie jest kilka, które powinny być szczególnie wyróżnione, ponieważ bardzo wiele działań i transakcji wymaga interakcji z nimi. Do tych podmiotów należą banki, dostawcy usług zaufania oraz instytucje publiczne. Wynika to z tego, że podlegają one szczególnym wymaganiom w zakresie nadzoru, a sposób ich działania jest ustanowiony przepisami prawa. Użytkownicy korzystający z portfela powinni w jasny sposób być informowani o tym jakim instytucjom udostępniają swoje dane i czy podmioty te podlegają specjalnemu nadzorowi, czy też nie. Możliwe, że rozwój usług opartych o portfel spowoduje ustalenie nowych kategorii podmiotów wykorzystujących portfel w swoich usługach online.
Rozpoznawanie stron ufających
Portfel przed rozpoczęciem interakcji ze stroną ufającą musi ją uwierzytelnić. Uwierzytelnienie to powinno dawać gwarancje bezpieczeństwa oraz nie powodować zbyt dużego obciążenia systemów odpowiedzialnych za prowadzenie rejestru stron ufających korzystających z portfela. Mechanizm, który jest sprawdzony i pozwoli na łatwe uwierzytelnianie stron internetowych to certyfikaty uwierzytelnienia witryn internetowych, certyfikaty pieczęci elektronicznych oraz elektroniczne potwierdzenia atrybutów.
Kwalifikowane certyfikaty uwierzytelnienia witryn internetowych
Kwalifikowane certyfikaty uwierzytelnienia strony internetowej zapewniają bezpieczną identyfikację i uwierzytelnienie strony ufającej oraz zapewniają bezpieczną komunikację. Certyfikaty te są wydawane przez kwalifikowanych dostawców usług zaufania. Uzyskanie takiego certyfikatu wymaga jednoznacznego oraz formalnego potwierdzenia danych wnioskodawcy, weryfikacji osób uprawnionych oraz zapewnienia bezpieczeństwa kluczy publicznych związanych z ww. certyfikatem. Proces ten jest realizowany przez kwalifikowanego dostawcę usług zaufania zgodnie z nadzorowanymi i audytowanymi procedurami. Rejestracja stron ufających poprzez kwalifikowanych dostawców może być bezpośrednia i nie wymagać jakichkolwiek decyzji po stronie urzędów.
Dodatkowe atrybuty certyfikatów
Aby umożliwić łatwe rozpoznawanie poziomu wiarygodności stron ufających, certyfikaty powinny mieć dodatkowe atrybuty, które będą jednoznacznie informowały, czy dana instytucja jest bankiem, podmiotem publicznym, czy usługą zaufania. Certyfikaty zawierające dodatkowe informacje o rodzaju usługi oraz organie nadzorującym tę usługę są z powodzeniem stosowane przez banki w ramach wymagań dyrektywy PDS2. Podobnie funkcjonujące certyfikaty można zastosować także do uwierzytelniania stron ufających.
Podsumowanie
Zaproponowane w powyższym tekście mechanizmy bezpieczeństwa portfela cyfrowej tożsamości pozwolą na świadome bezpieczne ich użytkowanie. Co ważne, przedstawione rozwiązania nie wymagają tworzenia specjalnej infrastruktury (np. list stron ufających) przez kraje członkowskie Unii Europejskiej, natomiast rejestracja podmiotów może być całkowicie realizowana przez dostawców usług zaufania.
Data publikacji: 5.10.2022