TARPTAUTINĖ VAIRAVIMO INSTITUCIJA
Prisijungti
Taikyti
  1. Pagrindinis puslapis
    2.  / 
  2. Blogas
    3.  / 
  3. Policija, nuomos punktai, darbdaviai, draudikai: kodėl jie neturėtų matyti tų pačių duomenų
Suggested languages
EN anglų AF afrikanų AM amharų AR arabų AZ azerbaidžaniečių BE baltarusių BG bulgarų BN bengalų BS bosnių CS čekų DA danų DE vokiečių EL graikų ES ispanų ET estų FA persų FI suomių FIL filipiniečių FR prancūzų GA airių HE hebrajų HI hindi HR kroatų HU vengrų ID indoneziečių IT italų JA japonų KA gruzinų KK kazachų KM khmerų KO korėjiečių KY kirgizų LO laosiečių
LT lietuvių
LV latvių MK makedonų MN mongolų MS malajiečių MY birmiečių NE nepaliečių NL olandų NO norvegų PA pandžabų PL lenkų PS puštūnų PT portugalų RO rumunų RU rusų SI sinhalų SK slovakų SL slovėnų SQ albanų SR serbų SW suahilių TA tamilų TG tadžikų TH tajų TK turkmėnų TR turkų UK ukrainiečių UR urdu VI vietnamiečių ZH kinų

Blog languages
CA katalonų HY armėnų IS islandų JV javiečių MT maltiečių SV švedų UZ uzbekų
Policija, nuomos punktai, darbdaviai, draudikai: kodėl jie neturėtų matyti tų pačių duomenų

Policija, nuomos punktai, darbdaviai, draudikai: kodėl jie neturėtų matyti tų pačių duomenų

Didžiausia klaida kuriant būsimą Tarptautinį vairuotojo pažymėjimą (TVP) būtų traktuoti kiekvieną tikrintoją kaip tą patį tikrintoją. Policijos pareigūnas, automobilių nuomos punktas, darbdavys ir draudikas neklausia to paties klausimo — todėl neturėtų gauti to paties atsakymo.

Vienas vairuotojas. Viena pagrindinė teisė vairuoti. Viena skaitmeninė piniginė. Tačiau keturi labai skirtingi tikrintojai:

  • Policijos pareigūnas kelyje
  • Automobilių nuomos punktas paėmimo metu
  • Darbdavys, tikrinantis transporto parko naudojimo teisę
  • Draudikas, nagrinėjantis pretenzijas

Jei būsimas TVP visiems keturiems rodys tuos pačius duomenis, sistema jau bus žlugusi. Ne todėl, kad kredencialas nesaugus, o todėl, kad atskleidimo modelis per paprastas.

Standartų bendruomenė jau atsitraukia nuo to paprasto modelio. W3C patvirtinami kredencialai aprašo ekosistemą, kurioje dalyvauja išdavėjai, turėtojai ir tikrintojai, kaip tikrintojų pavyzdžius naudodami darbdavius ir svetaines. Europos Sąjungos (ES) mobilaus vairuotojo pažymėjimo (mDL) darbas jau traktuoja kelio patikrinimus ir automobilių nuomą kaip atskirus tikrinimo scenarijus, įskaitant nuotolinį išankstinį dalinimąsi nuomai ir asmeninį patikrinimą policijai. Architektūra jau suprojektuota keliems tikrintojų tipams. Klaida būtų projektuoti naudotojo patirtį taip, lyg egzistuotų tik vienas tipas.

Kodėl fizinė kortelė išmokė mus mąstyti neteisingai

Fizinis pažymėjimas išmokė mus rodyti viską. Jūs atiduodate kortelę. Kitas asmuo mato tai, kas ant kortelės. Tai ir yra visas sąveikos procesas.

Toks požiūris priimtinas popieriaus pasaulyje, nes nėra alternatyvos. Skaitmeniniame pasaulyje jis tampa nepriimtinas.

W3C VC duomenų modelis 2.0 tiesiogiai teigia: vairuotojo pažymėjimas gali turėti ID numerį, ūgį, svorį, gimimo datą ir namų adresą — tačiau tai vis tiek gali būti daug daugiau, nei reikia konkrečiam sandoriui. Pagrindiniai dabartinių standartų punktai:

  • W3C geroji praktika: palaikyti selektyvų atskleidimą ir prašyti tik to, kas yra griežtai būtina
  • ES duomenų apsaugos gairės: tvarkymas turi būti apribotas nurodytais tikslais, o tvarkomi duomenys turi būti būtini ir proporcingi
  • Pirmasis būsimo TVP principas: tas pats kredencialas nereiškia tos pačios teisės tikrinti

Tinkamas modelis yra politika grįstas atskleidimas

Jei norite rimtos architektūros, tinkamas modelis labiau artimas atributais pagrįstai prieigos kontrolei nei skaitmeninės kortelės pateikimui.

NIST SP 800-205 apibrėžia prieigos kontrolės sprendimus kaip subjekto, objekto, prašomos operacijos ir aplinkos sąlygų atributų vertinimą pagal politiką. Tai yra tiksliai tinkama struktūra būsimam TVP:

  • Subjektas: vairuotojas
  • Objektas: prašomi duomenų laukai
  • Veiksmas: ne abstrakčiai „matyti pažymėjimą”, o kažkas konkretaus, pavyzdžiui, „patvirtinti teisę vairuoti B kategorijos transportą kelyje” arba „patvirtinti nuomos tinkamumą rezervacijai”
  • Aplinka: kelias, nuomos punktas, nuotolinis išankstinis patikrinimas, transporto parko registracija ir pretenzijų nagrinėjimas po įvykio yra skirtingos aplinkos ir turėtų lemti skirtingus sprendimus

NIST taip pat pažymi, kad atributų sistemoms reikalinga detalizacija, valdymas ir atributų mažinimo, grupavimo bei minimizavimo mechanizmai.

Todėl būsimas TVP neturėtų klausti: Ar šis tikrintojas gali skaityti pažymėjimą? Jis turėtų klausti: Kokius teiginius šis tikrintojas gali gauti, kuriam numatytam naudojimui, šioje aplinkoje, su kokiomis saugojimo taisyklėmis?

Tikrintojas turėtų prisistatyti prieš ko nors prašydamas

Būsimas TVP neturėtų prasidėti nuo piniginės, rodančios duomenis. Jis turėtų prasidėti nuo tikrintojo, įrodančio, kas jis yra.

EUDI architektūra dėl to yra aiški. Pasikliaujančiosios šalys privalo:

  • Registruoti, kokius atributus ketina prašyti ir kokiu tikslu
  • Gauti prieigos sertifikatus
  • Autentifikuotis piniginėje prieš bet kokį atskleidimą
  • Būti patikrinti pagal jų registruotą apimtį, kai registracijos informacija yra prieinama

Tuomet naudotojas gali matyti, kas klausia, ko prašoma ir ar prašymas atitinka registruotą apimtį.

ETSI šiuo metu vykdomas darbas dėl piniginės pasikliaujančiosios šalies sertifikatų tai padaro konkretesnį. Piniginės pasikliaujančiosios šalies registracijos sertifikatas gali aprašyti pasikliaujančiosios šalies numatytą naudojimą ir atributus, kuriuos ji užregistravo prašyti. Susijęs prieigos sertifikatas egzistuoja siekiant užtikrinti, kad prašymas ateitų iš teisėtos, įgaliotos šalies. ETSI taip pat įtraukia pasikliaujančiosios šalies metaduomenis, tokius kaip:

  • Prekinis pavadinimas
  • Palaikymo URI
  • Numatytas naudojimas
  • Teisės
  • Registro URI
  • Priežiūros institucijos informacija

Antrasis būsimo TVP principas: jokios tikrintojo tapatybės — jokio atskleidimo.

Kodėl sutikimo ekranų nepakanka

Čia yra dar viena klaida: naudotojo patvirtinimo tapatinimas su teisiniu teisėtumu.

EUDI architektūra aiškiai sako, kad naudotojo sutikimas pateikti atributus neturėtų būti laikomas teisiniu pasikliaujančiosios šalies asmens duomenų tvarkymo pagrindu. Pasikliaujančioji šalis vis tiek turi turėti savo teisėtą pagrindą. EUDI taip pat reikalauja naudotojo patvirtinimo visais naudojimo atvejais, įskaitant atvejus, kai pasikliaujančioji šalis gali būti teisėsaugos institucija ar kita valdžios agentūra.

Gera piniginės sąsaja gali padėti, tačiau pati nepajėgs išspręsti tikrintojo piktnaudžiavimo. Taisyklė turi egzistuoti anksčiau nei sąsaja.

Todėl būsimam TVP reikia abiejų:

  • Kriptografinis tikrintojo autentifikavimas siekiant patvirtinti, kas klausia
  • Politikos apribojimai dėl to, ko ta tikrintojų kategorija gali prašyti

Be abiejų, „naudotojo pasirinkimas” tampa būdu perkelti politikos nesėkmę ant asmens.

Tikrintojų klasių matrica

1. Policija: patikrinti teisę vairuoti, o ne visą asmenybę

Policijos patikrinimo kelyje scenarijus yra pats tikslingiausias.

ES mDL vadovas tai aprašo tiesiogiai: policija ar kiti pareigūnai tikrina pažymėjimą, kai to reikalaujama, įskaitant pažymėjimo galiojimą ir transporto priemonių teises. Naudotojo kelyje pareigūnas tikrina pažymėjimą per QR kodų srautą, „Bluetooth”, „Wi-Fi Aware” arba NFC. Tai yra tikslinė tikrinimo užduotis:

  • Ar šis asmuo yra turėtojas?
  • Ar kredencialas galioja?
  • Kokios transporto priemonių teisės ir apribojimai taikomi?

Pagal nutylėjimą leidžiama:

  • Vardas ir pavardė
  • Nuotrauka
  • Pažymėjimo statusas
  • Išdavimo ir galiojimo pabaigos datos
  • Kategorijos
  • Su vairavimu susiję apribojimai
  • Išdavėjas ir jurisdikcija
  • Aktualumo / statuso rezultatas

Pagal nutylėjimą neleidžiama:

  • Namų adresas
  • Vidiniai identifikatoriai, nereikalingi naudoti kelyje
  • Nesusiję atributai iš kitų patvirtinimų
  • Istoriniai pateikimo žurnalai
  • Komerciniai metaduomenys

AAMVA įgyvendinimo gairės sustiprina nuotraukos punktą: jei nuotrauka prašoma ir išleidžiamas koks nors kitas elementas, nuotrauka turėtų būti bendrinamas, kad tikrintojas galėtų susieti duomenis su ją pateikiančiu asmeniu. Tos pačios gairės taip pat sako, kad suinteresuotosios šalys neturi sekti mDL turėtojų ar mDL naudojimo, išskyrus tai, ko reikalauja įstatymas.

Policijos atvejis nėra apie tai, kad valstybė gauna viską. Tai yra apie tai, kad valstybė gauna su vairavimu susijusius duomenis, reikalingus kelio patikrinimui. Tai yra svarbus skirtumas.

2. Nuomos punktai: tinkamumas, tapatybės sutapimas ir nieko nereikalingo

Nuomos atvejis yra išsamesnis, nes iš tiesų yra du momentai: nuotolinis išankstinis patikrinimas prieš atvykimą ir paėmimas, kai asmuo ar kioskas atiduoda raktus.

ES mDL vadovas jau modeliuoja abu. Automobilių nuomos paslauga gali prašyti mDL kartu su tapatybės įrodymu rezervacijos metu, patvirtinti patvirtinimus ir vėliau asmeniškai patikrinti klientą paėmimo metu prieš atiduodant transporto priemonę. Naudotojai gali dalintis savo mDL su automobilių nuomos įmonėmis tiek asmeniškai, tiek nuotoliniu būdu iš anksto.

Nuomos punktui pirmiausia nereikia tirti incidento. Jam reikia nuspręsti: Ar galiu išnuomoti šią transporto priemonę šiam klientui pagal šią rezervaciją ir politiką?

Nuotolinis išankstinis patikrinimas turėtų apimti:

  • Tapatybės susiejimą
  • Nuotrauką arba lygiavertį tapatybės patvirtinimo elementą
  • Atitinkamą transporto priemonės kategoriją
  • Išdavimo ir galiojimo pabaigos datas
  • Dabartinį galiojimą
  • Galbūt amžiaus ribą arba amžiaus juostą

Paėmimas turėtų patvirtinti:

  • Turėtojas yra tas pats asmuo, kuris atliko išankstinį patikrinimą
  • Dabartinį galiojimą
  • Atitinkamas teises

Pagal nutylėjimą nereikalinga:

  • Visas namų adresas, kai rezervacijos profilyje jau yra kontaktinė informacija
  • Visa gimimo data, kai pakanka amžiaus viršijimo ar amžiaus juostos
  • Nesusiję tapatybės atributai
  • Kartotinis viso kredencialio pateikimas, jei jau egzistuoja rezervacijos patvirtinimas

NIST dabartinė mDL architektūra rodo, kad pasikliaujančioji šalis naudoja DCQL prašyti tik reikalingų atributų, ir aiškiai sako, kad tai palaiko duomenų minimizavimą ir turėtojo sutikimą struktūrizuojant prašymą, o ne traktuojant kredencialą kaip vieną vienetą. AAMVA priduria, kad programa turėtų aiškiai rodyti, kokių duomenų buvo prašyta ir ar tikrintojas ketina saugoti informaciją.

3. Darbdaviai: tikrintojų kategorija, o ne durys į visą tapatybę

W3C apžvalga naudoja darbdavio skaitmeninę sistemą, tikrinančią universiteto diplomą, kaip tikrintojo pavyzdį. Tai primena, kad darbdavio tikrinimas jau yra pripažintas modelis kredencialų ekosistemose.

Darbdavys ar transporto parko operatorius gali teisėtai norėti žinoti:

  • Ar darbuotojas šiuo metu turi teisę vairuoti tam tikrų kategorijų transporto priemones
  • Ar yra svarbių apribojimų
  • Ar teisė išlieka galiojanti

Tai yra tikras verslo poreikis. Tačiau jis automatiškai nepateisina nuolatinės prieigos prie viso vairavimo kredencialio, visų tapatybės duomenų ar nuolatinio kartotinių pateikimų srauto.

NIST įspėja, kad dažnas daugkartinio naudojimo identifikatoriaus perdavimas ir naudotojų įpratinimas pakartotinai pateikti tapatybę turintį kredencialą yra nepageidautinas, ir sako, kad kasdieniam autentifikavimui turėtų būti naudojamos autentifikavimui skirtos technologijos, tokios kaip slaptaraktiai. NIST teikia pirmenybę vietiniam įrenginio autentifikavimui prieš serverio biometrinį atitikmenį, nes tai geriau apsaugo privatumą.

Būsimas TVP neturėtų tapti darbo vietos prieigos ženkleliu.

Darbdavio ir transporto parko naudojimui tinkamas modelis paprastai yra:

  • Su darbu susijusios teisės patikrinimas
  • Galbūt periodinis atitikties patvirtinimas
  • Galbūt teiginys, kad turėtojas išlieka tinkamas nurodytoms kategorijoms
  • Bet ne numatytasis visų pažymėjimo duomenų perdavimas kiekvieną kartą, kai darbuotojas prisijungia prie sistemos ar pradeda pamainą

Transporto parko atitiktis yra atskira pasikliaujančiosios šalies kategorija, su atskiru numatytu naudojimu ir atskiru atskleidimo profiliu.

4. Draudikai: pretenzijos nėra leidimas nuolatiniam matomumui

Draudimo atvejis dažnai yra realus. ES mDL naudojimo atvejų medžiagoje draudikai netiesiogiai atsiranda nuomos scenarijuje: draudimo bendrovės reikalauja, kad automobilių nuomos įmonės patikrintų, ar asmuo, nuomojantis automobilį, turi teisę vairuoti. Draudimas jau daro įtaką vairavimo tikrinimo eigai.

Tačiau tai nereiškia, kad draudikas turėtų gauti tuos pačius duomenis kaip policija ar nuolatinę teisę prieiti prie kredencialio.

Būsimas TVP turėtų traktuoti draudikus kaip atskirą tikrintojų kategoriją su atskirais numatytais naudojimais:

  • Draudimo rizikos vertinimas
  • Nuomos rizikos patikrinimas
  • Pretenzijų nagrinėjimas po nuostolių
  • Sukčiavimo tyrimas

Tai nėra tas pats tikslas. Pagal ES duomenų apsaugos principus asmens duomenys turi būti renkami nurodytais tikslais ir ribojami tuo, kas yra būtina ir proporcinga tam tikslui. W3C VC gairės techniškai pasiekia tą pačią išvadą: tikrintojai turėtų prašyti tik to, kas yra griežtai būtina.

Teisėti, konkrečiam įvykiui skirti pavyzdžiai:

  • Įrodymas, kad pažymėjimas galiojo atitinkamu momentu
  • Įrodymas apie atitinkamą transporto priemonės teisę
  • Tapatybės susiejimo įrodymas, kai tai reikalinga pretenzijoje
  • Pretenzijoje specifinis atskleidimas

Pagal nutylėjimą neleidžiama:

  • Nuolatinė prieiga prie pagrindinio kredencialio
  • Kartotinis bendrinis patikrinimas kiekvieną kartą, kai klientas bendrauja su draudiku
  • Vairavimo kredencialio naudojimas kaip prisijungimo žetono
  • Nesusijusių atributų rinkimas

Vairavimo kredencialas nėra stebėjimo prenumerata. Ir neturėtų tyliai tokia tapti.

Kodėl tarpininkai turi būti matomi

Realiose rinkose yra tarpininkų. Nuomos platformos, transporto parko pardavėjai, darbdavio personalo sistemos ir draudimo pretenzijų procesoriai dažnai veikia per trečiąsias šalis.

EUDI architektūra su tuo dorojasi:

  • Traktuodama tarpininkus kaip pasikliaujančiąsias šalis
  • Reikalaudama jų registracijos
  • Reikalaudama, kad tarpininkui prašomi atributai būtų užregistruoti
  • Rodydama naudotojui ir tarpininką, ir galutinę pasikliaujančiąją šalį
  • Drausdama tarpininkams saugoti duomenis apie sandorio turinį

Būsimas TVP niekada neturėtų leisti modelio, kai naudotojas mano, kad atskleidžia nuomos įmonei, tačiau iš tikrųjų atskleidžia nematomam tikrinimo brokerio, analizės procesoriaus ir pretenzijų pardavėjo grandinei.

ETSI čia padeda. Jo piniginės pasikliaujančiosios šalies sertifikatų modelis apima palaikymo URI, numatytą naudojimą, registro URI ir priežiūros institucijos metaduomenis. Tai yra mašininiu būdu skaitoma infrastruktūra, reikalinga naudotojams suprasti, kas iš tikrųjų yra prašymo kitame gale ir kur kreiptis, kai jie nori ištrynimo ar pataisymo.

Saugojimas yra prieigos kontrolės dalis

Dauguma diskusijų apie selektyvų atskleidimą baigiasi per anksti. Jos sutelkia dėmesį į tai, kas atskleidžiama. Jos pakankamai nesusitelkia į tai, kiek laiko tai išlieka po to.

Dabartinės gairės jau susilieja:

  • AAMVA: piniginė turi aiškiai informuoti turėtoją, kokių duomenų buvo prašyta ir ar tikrintojas ketina juos saugoti; suinteresuotosios šalys neturi sekti turėtojų ar mDL naudojimo, išskyrus tai, ko reikalauja įstatymas
  • W3C: turėtojo programinė įranga turėtų teikti žurnalus apie informaciją, bendrintą su tikrintojais, kad būtų galima nustatyti pernelyg didelius prašymus
  • EUDI: naudotojai turėtų turėti prieigą prie sandorių žurnalų, galimybę pranešti apie įtartinus prašymus ir prašyti ištrynimo

Saugojimo klasė turėtų būti paties atskleidimo politikos dalis:

  • Policijos patikrinimas kelyje: pagal nutylėjimą nesaugoma ilgiau nei leidžia teisinis operatyvinis įrašas
  • Nuomos išankstinis patikrinimas: sandorio įrašas, susietas su rezervacija, o ne daugkartinio naudojimo tapatybės kopija
  • Darbdavio transporto parko atitiktis: atitikties įrašas arba patvirtinimo rezultatas, o ne neapdoroti kredencialio duomenys
  • Draudiko pretenzija: pretenzijos įrašas, apribotas pretenzija, o ne nuolatinė prieiga

Būsimas TVP, ignoruojantis saugojimą, tik iš dalies apsaugo privatumą.

Ką iš tikrųjų turėtų nuspręsti piniginė

Jei turėčiau supaprastinti visą šį straipsnį iki vienos įgyvendinimo taisyklės, ji būtų tokia:

Piniginė turėtų ne atsakyti į klausimą „Ar galiu pateikti šį kredencialą?”, o atsakyti į klausimą „Ar galiu pateikti šį teiginių rinkinį šiam autentifikuotam tikrintojui, šiam numatytam naudojimui, šiame kontekste, pagal šią saugojimo klasę?”

Tas sprendimas turėtų būti grindžiamas bent šiais duomenimis:

  • Tikrintojo tapatybė
  • Tikrintojo kategorija
  • Numatytas naudojimas
  • Registruota atributų apimtis
  • Atskleidimo politika iš išdavėjo, jei yra
  • Aplinka (kelias, paėmimas, nuotolinė, parkas, pretenzija)
  • Turėtojo patvirtinimas
  • Taikoma saugojimo politika

Standartai jau apima didžiąją dalį šio mechanizmo: selektyvų atskleidimą, pasikliaujančiosios šalies autentifikavimą, registruotą numatytą naudojimą, prieigos sertifikatus, atskleidimo politikos vertinimą ir tikslu susietus prašymus. Ko dar trūksta — tai drausmės šiuos elementus traktuoti kaip vieną nuoseklią atskleidimo architektūrą.

Pagrindinis argumentas

Būsimas TVP neturėtų klausti, ar duomenys gali būti atskleisti. Jis turėtų klausti:

  • Kas klausia?
  • Kokiu tikslu?
  • Pagal kurią instituciją?
  • Kokiame kontekste?
  • Su kokiomis saugojimo pasekmėmis?

Policija, nuomos punktai, darbdaviai ir draudikai nėra keturi logotipai kitame prašymo gale. Tai yra keturi skirtingi rizikos modeliai, keturi skirtingi teisiniai kontekstai, keturios skirtingos priežastys klausti — ir jie turėtų sukurti keturis skirtingus atskleidimo rinkinius.

Tai nėra nereikalingas sudėtingumas. Taip atrodo modernus vairavimo kredencialas, kai jis nustoja traktuoti kiekvieną tikrintoją kaip tą patį tikrintoją.

Taikyti
Įveskite savo el. pašto adresą žemiau esančiame laukelyje ir spustelėkite „Prenumeruoti"
Atšaukti
Birželis 29, 2025 Geriausi vietai aplankyti Turkmėnistane Geriausi vietai aplankyti Turkmėnistane Spalis 04, 2025 Geriausios vietos aplankyti Grenadoje Geriausios vietos aplankyti Grenadoje Kovas 10, 2024 10 įdomių faktų apie Bulgariją 10 įdomių faktų apie Bulgariją
Prenumeruokite ir gaukite išsamias instrukcijas apie tarptautinio vairuotojo pažymėjimo gavimą ir naudojimą, taip pat patarimus vairuotojams užsienyje