راه پرداخت؛ رسانه فناوری‌های مالی ایران

استانداردهای هویت دیجیتال / معرفی چند استاندارد معتبر و مطرح دنیا در زمینه هویت دیجیتال

0

نجمه نوذر، دانشجوی دکتری حرفه­‌ای بانکداری دیجیتال دانشگاه تربیت مدرس / هویت دیجیتال را می­‌توان مرز ورود و فعال­‌کننده فعالیت‌های اقتصادی، اجتماعی و سیاسی در عصر دیجیتال برای ایجاد ارزش برای افراد و نهادها دانست. در صورتی‌که این مورد با اصول صحیح و سیاست در نظر گرفته شود، با جلوگیری از خطر سوء استفاده، منافع اقتصادی چشمگیری را ایجاد می‌­کند. هویت دیجیتال از طریق کانال­‌های دیجیتال اعتبارسنجی می‌­شود و پس از آن ارائه‌کنندگان خدمات بانکی، آموزشی، درمانی و سایر خدمات دولتی و غیردولتی، خدمت خود را با اطمینان بیشتری ارائه می‌­کنند و متقاضیان نیز با خیالی آسوده مجوز تبادل اطلاعات خود را در اختیار آنها قرار می‌­دهند.

در صورتی‌که سیستم­‌های هویت دیجیتال براساس استانداردهای موجود معتبر و تجارب بهینه دنیا طراحی و توسعه داده شوند، ایمن‌­تر و کاراتر خواهند بود؛ ضمن اینکه اگر مطابق این استانداردها باشند تبادلات بین‌المللی نیز از این طریق ساده­‌تر صورت می­‌گیرد. در این نوشتار پس از بیان برخی مزایای استانداردها در هویت دیجیتال، چند استاندارد معتبر و مطرح دنیا در زمینه هویت دیجیتال معرفی شده است.


مزایای استانداردهای هویت دیجیتال


برخی مزایای مهم وجود استاندارد هویت دیجیتال عبارتند از:

  • تسریع در استقرار خدمات دیجیتال با مشارکت در زیرساخت‌­های دیجیتال بخش‌های دولتی و خصوصی
  • تسهیل جهت استاندارد بودن مبادلات رسمی دیجیتال
  • ایجاد اعتماد برای شهروندان در جهت شناسایی و استفاده از خدمات دیجیتال
  • مدرن­‌سازی انجام معاملات تجاری
  • شفافیت در بازار
  • ایجاد امنیت فنی و حقوقی (گروه تالز، ۲۰۱۷)

استانداردها و دستورالعمل­‌های هویت دیجیتال عبارتند از:

  •  NIST SP 800-63– استاندارد ملی آمریکا
  • eIDAS ۲۰۱۷ – استاندارد ملی اتحادیه اروپا
  • ITU-T X.1253 – دستورالعمل اتحادیه بین‌المللی ارتباط از راه دور

همچنین دو استاندارد ایزو زیر که در خصوص مدیریت و تصدیق هویت است و از مفاهیم و نکات پایه آن در هویت دیجیتال هم استفاده می­‌شود:

  • ISO/IEC ۲۴۷۶۰:۲۰۱۹ – استاندارد سازمان بین‌المللی استاندارد: چارچوب­ مدیریت هویت
  • ISO/IEC ۲۹۰۰۳:۲۰۱۸ – استاندارد سازمان بین‌المللی استاندارد: راهنمایی اثبات هویت اشخاص

انستیتوی ملی استاندارد و فناوری (National Institute Standard and Technology(NIST)) یک آزمایشگاه علوم فیزیکی و یک آژانس غیرنظارتی وزارت بازرگانی ایالات متحده است. استانداردی در خصوص هویت دیجیتال تدوین کرده است تحت عنوان:SP 800-63 که آخرین نسخه آن مربوط به سال ۲۰۱۷ به‌صورت زیر است(+).

بخش ثبت نام و اثبات هویت از استانداردSP 800-63-3A
بخش احراز هویت و مدیریت چرخه حیات از استانداردSP 800-63-3B
بخش اتحاد و تأیید ادعا از استانداردSP 800-63-3C

در این استاندارد مفهمومی تحت عنوان سطح اطمینان (Assurance Level) مطرح شده است که بر اساس همین دسته­‌بندی، سه سطح دارد:

سطوح اطمینان در استاندارد NIST آمریکا (گرنت، ۲۰۱۷)

بخش‌های هر سطح اطمینان به‌صورت زیر است:

سطح اطمینان از ثبت هویت (Identity Assurance Level)

شرح فارسیشرح لاتینIAL
ویژگی­‌های خود- ادعاییSelf-asserted attribute(s)۱
هویت اثبات شده از راه دورRemotely identity proofed۲
هویت شخصی اثبات شده (و ارائه شرط حضور از راه دور)In-person identity proofed (and a provision for attended remote)۳

سطح اطمینان از احراز هویت (Authentication Assurance Level)

شرح فارسیشرح لاتینAAL
احراز هویت تک عاملیSingle-factor authentication۱
احراز هویت دو عاملیTwo-factor authentication۲
احراز هویت دو عاملی همراه با احراز هویت کننده سخت‌افزاریTwo-factor authentication with hardware authenticator۳

سطح اطمینان از اتحاد و تأیید ادعا (Federation Assurance Level)

شرح فارسیشرح لاتینAAL
ادعای حامل، که توسط ارائه‌دهنده هویت(IDP) امضا شده استBearer assertion, signed by IDP۱
ادعای حامل، امضا شده توسط توسط ارائه دهنده هویت و رمزگذاری شده به اتکا‌کننده (RP)Bearer assertion, Signed by IDP and encrypted to RP۲
دارنده ادعای کلیدی، امضا شده توسط توسط ارائه دهنده هویت و رمزگذاری شده به اتکا‌کنندهHolder of key assertion, Signed by IDP and encrypted to RP۳

نمونه‌ه­ایی از بندهای استاندارد بخش ثبت‌نام به‌صورت زیر است:

  • ثبت‌نام مبتنی بر شواهد (استفاده از چند عامل قوی)
  • اعتبارسنجی (Validation)
  • ایمن بودن کانال‌های ارتباطی
  • وجود راهکار کشف تقلب (Fraud detection)
  • توانایی جلوگیری از تکرارها برای مقابله با هکرها
  • وجود لاگینگ
  • ارزیابی ریسک
  • امکان تأیید هویت به هر دو صورت حضوری و از راه دور
  • زمان مشخص برای اعتبار کد ثبت نام (۱۰ روز در خود محدوه آمریکا، ۳۰ روز پست به خارج از کشور، ۱۰ دقیقه برای ارسال به تلفن همراه و ۲۴ ساعت برای ایمیل) (گرسی، ۲۰۱۷)

eIDAS (شناسایی، احراز هویت و خدمات اعتماد الکترونیک)


رگولاتوری اتحادیه اروپا مقرراتی را تحت عنوان «شناسایی، احراز هویت (+) و خدمات اعتماد الکترونیک» (electronic Identification, Authentication and trust Services(eIDAS)) برای تراکنش­‌های الکترونیک در سراسر اروپا وضع کرد که به عنوان قانون اجباری در سال ۲۰۱۴ در سراسر اروپا اجرا شد. اهداف این قواعد عبارتند از: تسهیل جریان روان تجارت در اتحادیه اروپا، شفافیت، امنیت، بی‌طرفی فنی و قابلیت همکاری.

کاربردهای این مقررات عبارتند از:

  • استانداردسازی استفاده از شناسایی الکترونیکی
  • ارائه خدمات اعتماد الکترونیکی (electronic Trust Services(eTS))
  • ضمانت اعتبار قانونی امضاهای الکترونیکی
  • ایجاد یک بازار داخلی خدمات اعتماد الکترونیکی در اتحادیه اروپا

به دنبال توسعه خدمات دیجیتال در عصر تحول دیجیتال، اتحادیه اروپا در سال ۲۰۱۷، یک گام مؤثر در ایجاد و اجرای مقررات دیجیتال در راستای شناسایی و اعتماد به خدمات دیجیتال برداشت. با این آئین‌نامه eIDAS، اتحادیه اروپا به اولین منطقه جهانی تبدیل می‌­شود که چارچوبی قانونی (legal framework) برای تراکنش­‌های دیجیتالی فراملی برای تقویت اعتماد به نفس در معاملات دیجیتال دارد. این چارچوب دارایی ارزشمند، برای اقتصادهای ۳۱ کشور عضو اتحادیه منطقه اقتصادی اروپا، بازاری با بیش از ۵۰۰ میلیون شهروند است.

این چارچوب به اجرای صحیح نقشه­‌های هویت دیجیتال کمک خواهد کرد و تضمین می‌­کند که روش‌­های حاکمیتی معادل و قابل تعامل هستند (به این معنی که آنها می­‌توانند باهم کار کنند).

به طور همزمان، زیرساخت‌های دیجیتالی و به ویژه گره­‌های ارتباطی که برای پشتیبانی از نحوه کار مکانیسم اتصال ایجاد شده است از مراحل آزمایشی قابلیت همکاری بین چندین کشور طراحی شدند. این موارد شامل ماژول­‌های تأیید اعتبار، امضاها، صورتحساب و انتقال الکترونیکی است که می­‌توانند به راحتی توسط دولت‌­ها یکپارچه شده و برای تسهیل قابلیت همکاری استفاده شوند. حتی مواردی مانند ترجمه فوری ارائه شده است به طوری که کاربر می­‌تواند با خواندن مطالب به زبان خود به مدیریت کشور دیگری دسترسی پیدا کند.

به عنوان نمونه راننده اتریشی که به دلیل سرعت در هلند جریمه شده است، می­‌تواند با استفاده از هویت دیجیتالی خود، مورد جریمه به زبان مادری­ خود، تصمیم به پرداخت یا پرداخت الکترونیکی جریمه مطابق رویه هلندی‌­های توضیح داده شده در سایت مربوطه بگیرد.

در اتحادیه اروپا بخش‌های دولتی بیشتر مقررات را تنظیم می­‌کنند و شرایط را فراهم می­‌کنند و بخش خصوصی را به اجرای سرویس­‌های هویت دیجیتال و ارائه خدمات منطبق بر آن تشویق می‌کنند. این تحولات را می‌­توان به وضوح در بخش خدمات درمانی و عملیات مالی پرداخت از راه دور جهت مبارزه با پولشویی دید. اتحادیه اروپا به این ترتیب شرایط را از امضای الکترونیک (Electronic Signature) گرفته تا اعتماد دیجیتال (Digital Trust) فراهم می‌­کند.

شرکت‌­هایی که در نظر دارند برای خدمات خود نماد اعتماد دیجیتال بگبرند، مطابق مقررات ارزیابی اولیه می‌­شوند. این شرکت­‌ها می­‌بایست مجهز به سیستم­‌های مدیریت ریسک پیش‌گویانه، مدیریت امنیت داشته باشند و پس از دریافت گواهی جهت انطباق، به‌صورت دوره‌ه­ای مورد ممیزی قرار می­گیرند. (گروه تالز، ۲۰۱۷)


ITU (آی­‌تی‌­یو، آژانس تخصصی سازمان ملل متحد)


آی­تی­یو آژانس تخصصی سازمان ملل متحد (International Telecommunication Union (ITU)) فناوری­‌های اطلاعات و ارتباطات است (+) که به منظور تسهیل اتصال بین‌المللی در شبکه‌­های ارتباطی ایجاد شده است. در سال ۲۰۱۸ سندی ۶۰ صفحه­ای تحت عنوان «راهنمای نقشه راه هویت دیجیتال» منتشر کرد. تحت این سند ارائه شده، هویت دیجیتال در گستره اکوسیستم فناوری­‌های اطلاعات و ارتباطات مورد بررسی قرار گرفته است.

همچنین یک سند «راهنمای امنیت برای سیستم‌­های مدیریت هویت (Identity management (IDM))» تدوین کرده است که کلیت آن دربرگیرنده موارد زیر است:

  • مدل‌­ها و خدمات کلی سیستم مدیریت هویت
  • تهدیدات و خطرات امنیتی مربوط به سیستم مدیریت هویت
  • دستورالعمل­‌های امنیتی برای استقرار سیستم‌­های مدیریت هویت
  • دستورالعمل­‌های امنیتی برای بهره‌برداری از سیستم­‌های مدیریت هویت
  • ملاحظات حریم خصوصی در سیستم‌های مدیریت هویت

دستورالعمل‌های امنیتی چگونگی استقرار و بهره‌­برداری از سیستم مدیریت هویت را برای سرویس­‌های هویت ایمن در یک شبکه نسل بعدی یا فضای مجازی ارائه می­‌دهد. دستورالعمل­‌های امنیتی در مورد چگونگی به‌کارگیری مکانیسم­‌های مختلف امنیتی در هنگام همکاری دو سیستم مدیریت هویت را ارائه می‌دهد. اغلب این توصیه­‌ها بر خدمات مدیریت هویت چند دامنه‌ه­ا متمرکز است. البته موارد برای سیستم مدیریت هویت متمرکز نیز مفید و قابل اجرا است.


سازمان بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیک (IEC)


ایزو (سازمان بین‌المللی استاندارد) و آی‌­ای‌­سی (کمیسیون بین‌المللی الکتروتکنیک) سیستم تخصصی استانداردسازی جهانی هستند که تعدادی مقررات و چارچوب در خصوص هویت تدوین کرده‌اند که جدیدترین آنها در خصوص هویت دیجیتال ۲۴۷۶۰ سال ۲۰۱۹ و ۲۹۰۰۳ سال ۲۰۱۸ است؛ که در این بخش و بخش بعدی در خصوص آن اطلاعاتی ارائه شده است.

این استاندارد در برگیرنده چارچوبی برای مدیریت هویت و امنیت فناوری اطلاعات و حریم خصوصی است (+). یکی از نکات مهم برای سازمان‌ها، مدیریت صحیح اطلاعات هویتی برای حفظ امنیت فرآیندهای سازمانی است؛ برای مشتریان نیز مدیریت صحیح هویت برای محافظت از حریم شخصی آنها اهمیت دارد.

مفاد و بندهای ۲۴۷۶۰ مفاهیم اساسی و ساختارهای عملیاتی مدیریت هویت را معرفی و مشخص می‌کند تا سیستم­‌های اطلاعاتی بتوانند تحت آن تعهدات تجاری، قراردادی، نظارتی و قانونی را برآورده کنند. در این استاندارد به منظور ترویج درک مشترک در زمینه مدیریت هویت، اصطلاحات و مفاهیم مدیریت هویت بیان شده است.

در این استاندارد اصطلاحات پایه­‌های هویت، اعم از:

  • تعاریفی مانند موجودیت، هویت، صفت و شناسه مرجع
  • فرآیندهایی مانند صحت‌سنجی، اعتبارسنجی و تصدیق هویت
  • مدیریت هویت مانند ثبت‌نام، ادعا و اثبات هویت
  • بازیگرانی مانند مراجع ثبت‌نام، صادرکننده اعتبار
  • اصطلاحات و نکاتی مانند شناسه زودگذر (ephemeral identifier) به معنی ارائه حداقل اطلاعات با مدت اعتبار محدود به اشخاص ثالث (مانند تأیید کننده اعتبار) و تصدیق کور (blinded affirmation) به معنی عدم ارائه اطلاعات هویتی به شخص ثالث به جز بیانیه‌های مبنی بر اینکه موجودیت در یک دامنه شناخته شده است.

معمول است که استانداردها اغلب چک لیست و نکات را اعلام می‌­کنند و راهکار اجرایی را بر عهده سازمان توسعه دهنده قرار می­‌دهند.


ISO/IEC 29003:2018


ایزو ۲۹۰۰۳ استانداردها و راهنمایی پیرامون اثبات هویت (Identity Proofing) اشخاص و تکنیک­‌های امنیتی آن است (+). این استاندارد نکاتی را ارائه می‌­کند که به موجب آن سطوحی برای هویت اشخاص معین می­‌شود. مواردی مانند شواهد معتبر و شواهدی که نامعتبر هستند و توسط بخش معتبر ارائه نمی‌­شوند، از این قبیل می­‌باشد. پیش از این استاندارد، ایزو ۲۹۱۱۵ سطوح اطمینان برای تأیید هویت نهاد را مشخص کرده بود.

تعداد زیادی از سازمان­‌ها و صنایع دولتی به دنبال استاندارد بین‌المللی اثبات هویت هستند. این سند قابلیت همکاری و اعتماد اتحادی را برای اهداف اقتصاد دیجیتال فراهم و از ضمانت سایبری بین‌المللی در سراسر زنجیره‌های تأمین و مشترکات جهانی پشتیبانی می‌­کند.

ارائه خدمات دیجیتال در گرو تصدیق و احراز هویت دیجیتال و به اصطلاح اعتماد دیجیتال است. هر چه طراحی و توسعه سیستم­‌های هویت دیجیتال مطابق استانداردها و رویه­‌های بین‌المللی و تجارب روز دنیا باشد، سطح اطمینان بالاتر خواهد بود. در این نوشتار در خصوص کلیات استانداردهای هویت دیجیتال مطالبی ارائه شد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.