STARPTAUTISKĀ AUTOVADĪŠANAS IESTĀDE
Pierakstīties
Pieteikties
  1. Sākumlapa
    2.  / 
  2. Emuārs
    3.  / 
  3. Policija, Nomas Punkti, Darba Devēji, Apdrošinātāji: Kāpēc Viņiem Nevajadzētu Redzēt Vienos un Tos Pašus Datus
Suggested languages
EN angļu AF afrikāņu AM amharu AR arābu AZ azerbaidžāņu BE baltkrievu BG bulgāru BN bengāļu BS bosniešu CS čehu DA dāņu DE vācu EL grieķu ES spāņu ET igauņu FA persiešu FI somu FIL Filipino FR franču GA īru HE ebreju HI hindi HR horvātu HU ungāru ID indonēziešu IT itāļu JA japāņu KA gruzīnu KK kazahu KM khmeru KO korejiešu KY kirgīzu LO lao LT lietuviešu
LV latviešu
MK maķedoniešu MN mongoļu MS malajiešu MY birmiešu NE nepāliešu NL holandiešu NO norvēģu PA pundžabu PL poļu PS puštu PT portugāļu RO rumāņu RU krievu SI sinhalu SK slovāku SL slovēņu SQ albāņu SR serbu SW svahili TA tamilu TG tadžiku TH taju TK turkmēņu TR turku UK ukraiņu UR urdu VI vjetnamiešu ZH ķīniešu

Blog languages
CA katalāņu HY armēņu IS islandiešu JV javiešu MT maltiešu SV zviedru UZ uzbeku
Policija, Nomas Punkti, Darba Devēji, Apdrošinātāji: Kāpēc Viņiem Nevajadzētu Redzēt Vienos un Tos Pašus Datus

Policija, Nomas Punkti, Darba Devēji, Apdrošinātāji: Kāpēc Viņiem Nevajadzētu Redzēt Vienos un Tos Pašus Datus

Lielākā dizaina kļūda nākotnes Starptautiskajā Autovadītāja Apliecībā (SAA) būtu visu pārbaudītāju uzskatīšana par vienādiem. Policijas darbinieks, automašīnas nomas punkts, darba devējs un apdrošinātājs neuzdod vienu un to pašu jautājumu — tāpēc viņiem nevajadzētu saņemt vienu un to pašu atbildi.

Viens vadītājs. Vienas pamattiesības vadīt. Viens digitālais maks. Bet četri ļoti atšķirīgi pārbaudītāji:

  • Policijas darbinieks uz ceļa
  • Automašīnas nomas punkts saņemšanas brīdī
  • Darba devējs, kas pārbauda atbilstību autoparka prasībām
  • Apdrošinātājs, kas izskata prasību

Ja nākotnes SAA rādīs vienādus datus visiem četriem, sistēma jau būs izgāzusies. Ne tāpēc, ka apliecība nav droša, bet tāpēc, ka informācijas atklāšanas modelis ir pārāk vienkāršs.

Standartu kopiena jau virzās prom no šā vienkāršā modeļa. W3C verificējamo akreditācijas datu darbs apraksta ekosistēmu ap izdevējiem, turētājiem un pārbaudītājiem, izmantojot darba devējus un tīmekļa vietnes kā pārbaudītāju piemērus. Eiropas Savienības mobilās autovadītāja apliecības darbs jau izturas pret ceļmalas pārbaudēm un automašīnu nomu kā atsevišķiem verifikācijas scenārijiem, tostarp attālinātu iepriekšēju koplietošanu nomas gadījumā un klātienes pārbaudēm policijai. Arhitektūra jau ir izstrādāta vairākiem pārbaudītāju veidiem. Kļūda būtu lietotāja pieredzes izstrāde tā, it kā pastāvētu tikai viens veids.

Kāpēc Fiziskā Karte Mūs Iemācīja Domāt Nepareizi

Fiziskā apliecība mūs iemācīja izmantot pieeju “parādi visu”. Tu pasniedz karti. Otra persona redz, kas uz kartes rakstīts. Tā ir visa mijiedarbība.

Šāda pieeja ir pieņemama papīra pasaulē, jo nav alternatīvas. Tā kļūst nepieņemama digitālajā pasaulē.

W3C VC datu modelis 2.0 tieši norāda: autovadītāja apliecība var saturēt ID numuru, augumu, svaru, dzimšanas datumu un mājas adresi — bet tas joprojām var būt daudz vairāk, nekā nepieciešams konkrētam darījumam. Galvenie punkti no pašreizējiem standartiem:

  • W3C labākā prakse: atbalstīt selektīvu atklāšanu un pieprasīt tikai to, kas ir stingri nepieciešams
  • ES datu aizsardzības norādījumi: apstrādei jābūt ierobežotai ar noteiktiem mērķiem, un apstrādātajiem datiem jābūt nepieciešamiem un samērīgiem
  • Nākotnes SAA pirmais princips: vienāda apliecība nenozīmē vienādas tiesības pārbaudīt

Pareizais Modelis ir uz Politiku Balstīta Atklāšana

Ja vēlaties nopietnu arhitektūru, pareizais modelis ir tuvāks uz atribūtiem balstītai piekļuves kontrolei, nevis digitālas kartes uzrādīšanai.

NIST SP 800-205 definē piekļuves kontroles lēmumus kā ar subjektu, objektu, pieprasīto darbību un vides apstākļiem saistīto atribūtu novērtēšanu pret politiku. Tā ir tieši pareizā struktūra nākotnes SAA:

  • Subjekts: vadītājs
  • Objekts: pieprasītie datu lauki
  • Darbība: ne abstrakta “apliecības apskatīšana”, bet kaut kas konkrēts, piemēram, “B kategorijas transportlīdzekļa vadīšanas tiesību pārbaude uz ceļa” vai “nomas atbilstības pārbaude rezervācijai”
  • Vide: ceļmala, nomas punkts, attālināta iepriekšēja pārbaude, autoparka reģistrācija un pēczaudējuma prasības izskatīšana ir dažādas vides, un tām vajadzētu novest pie dažādiem lēmumiem

NIST arī norāda, ka atribūtu sistēmām nepieciešama granularitāte, pārvaldība un atribūtu samazināšanas, grupēšanas un minimizēšanas mehānismi.

Tāpēc nākotnes SAA nevajadzētu jautāt: Vai šis pārbaudītājs var lasīt apliecību? Tai vajadzētu jautāt: Kurus datus šis pārbaudītājs drīkst saņemt, kādam paredzētajam lietojumam, šajā vidē, ar kādiem glabāšanas noteikumiem?

Pārbaudītājam Jāidentificē Sevi Pirms Jebkāda Pieprasījuma

Nākotnes SAA nevajadzētu sākties ar maka datu uzrādīšanu. Tai vajadzētu sākties ar pārbaudītāja identitātes pierādīšanu.

EUDI arhitektūra par to ir skaidra. Paļāvības pusēm ir jāveic šādas darbības:

  • Reģistrēt, kādus atribūtus tās plāno pieprasīt un kādam nolūkam
  • Saņemt piekļuves sertifikātus
  • Autentificēties makā pirms jebkādas atklāšanas
  • Tikt pārbaudītām pret reģistrēto darbības jomu, ja reģistrācijas informācija ir pieejama

Pēc tam lietotājs var redzēt, kas jautā, ko pieprasa un vai pieprasījums atbilst reģistrētajai jomai.

ETSI pašreizējais darbs ar maka paļāvības puses sertifikātiem padara to konkrētāku. Maka paļāvības puses reģistrācijas sertifikāts var aprakstīt paļāvības puses paredzēto lietojumu un atribūtus, ko tā reģistrēta pieprasīt. Saistītais piekļuves sertifikāts pastāv, lai nodrošinātu, ka pieprasījums nāk no likumīgas, pilnvarotas puses. ETSI arī ietver paļāvības puses metadatus, piemēram:

  • Tirdzniecības nosaukums
  • Atbalsta URI
  • Paredzētais lietojums
  • Pilnvarojumi
  • Reģistra URI
  • Uzraudzības iestādes informācija

Nākotnes SAA otrais princips: bez pārbaudītāja identitātes — bez atklāšanas.

Kāpēc Piekrišanas Ekrāni Nav Pietiekami

Šeit ir vēl viena kļūda: lietotāja apstiprinājuma pielīdzināšana juridiskajai likumībai.

EUDI arhitektūra skaidri norāda, ka lietotāja apstiprinājums atribūtu uzrādīšanai nedrīkst tikt uzskatīts par paļāvības puses personas datu apstrādes likumīgu pamatu. Paļāvības pusei joprojām jābūt savam likumīgajam pamatam. EUDI arī prasa lietotāja apstiprinājumu visos lietošanas gadījumos, tostarp gadījumos, kad paļāvības puse var būt tiesībaizsardzības iestāde vai cita valsts aģentūra.

Laba maka saskarne var palīdzēt, bet tā pati par sevi nevar atrisināt pārbaudītāja pārsniegumus. Noteikumam jāpastāv pirms saskarnes.

Tāpēc nākotnes SAA ir nepieciešami abi:

  • Kriptogrāfiska pārbaudītāja autentifikācija, lai apstiprinātu, kas jautā
  • Politikas ierobežojumi tam, ko šī pārbaudītāja kategorija drīkst pieprasīt

Bez abiem “lietotāja izvēle” kļūst par veidu, kā politikas neveiksmi uzvelt uz indivīda pleciem.

Pārbaudītāju klašu matrica

1. Policija: Pārbaudīt Tiesības Vadīt, Nevis Visu Personu

Policijas ceļmalas scenārijs ir visvairāk fokusētais.

ES mDL rokasgrāmata to apraksta tieši: policija vai citi amatpersonas pārbauda apliecību, kad nepieciešams, tostarp apliecības derīgumu un transportlīdzekļu kategorijas. Lietotāja ceļojumā inspektors verificē apliecību, izmantojot QR koda darbplūsmu, Bluetooth, Wi-Fi Aware vai NFC. Tā ir fokusēts verifikācijas uzdevums:

  • Vai šī persona ir apliecības turētājs?
  • Vai apliecība ir derīga?
  • Kādas transportlīdzekļu kategorijas un ierobežojumi attiecas?

Pēc noklusējuma atļauts:

  • Vārds, uzvārds
  • Portrets
  • Apliecības statuss
  • Izsniegšanas un derīguma termiņa datumi
  • Kategorijas
  • Ar braukšanu saistīti ierobežojumi
  • Izdevējs un jurisdikcija
  • Aktualitātes/statusa rezultāts

Pēc noklusējuma nav atļauts:

  • Mājas adrese
  • Iekšējie identifikatori, kas nav nepieciešami ceļmalas lietošanai
  • Nesaistīti atribūti no citām apliecinājumiem
  • Vēsturiskie uzrādīšanas žurnāli
  • Komerciālie metadati

AAMVA ieviešanas norādījumi pastiprina portreta punktu: ja portrets ir pieprasīts un kāds cits elements tiek atklāts, portrets ir jākoplieto, lai pārbaudītājs varētu saistīt datus ar personu, kas tos uzrāda. Tie paši norādījumi arī nosaka, ka ieinteresētajām pusēm nevajadzētu izsekot mDL turētājiem vai mDL lietošanai, izņemot gadījumos, kad to prasa likums.

Policijas gadījums nav par to, ka valsts saņem visu. Tas ir par to, ka valsts saņem ar braukšanu saistītos datus, kas nepieciešami ceļmalas izpildei. Tā ir svarīga atšķirība.

2. Nomas Punkti: Atbilstība, Identitātes Saskaņošana un Nekas Lieks

Nomas gadījums ir detalizētāks, jo patiesībā ir divi brīži: attālinātā iepriekšējā pārbaude pirms ierašanās un atslēgu nodošana klātienē pie cilvēka vai kioskā.

ES mDL rokasgrāmata jau modelē abus. Automašīnas nomas pakalpojums var pieprasīt mDL kopā ar identitātes pierādījumu rezervācijas laikā, validēt apliecinājumus un vēlāk klātienē verificēt klientu saņemšanas brīdī pirms transportlīdzekļa nodošanas. Lietotāji var koplietot savus mDL ar automašīnu nomas uzņēmumiem gan klātienē, gan attālināti iepriekš.

Nomas punktam primāri nav jāizmeklē incidents. Tam jāpieņem lēmums: Vai es varu iznomāt šo transportlīdzekli šim klientam atbilstoši šai rezervācijai un polisai?

Attālinātajai iepriekšējai pārbaudei vajadzētu ietvert:

  • Identitātes saikni
  • Portretu vai līdzvērtīgu identitāti apliecinošu elementu
  • Attiecīgo transportlīdzekļa kategoriju
  • Izsniegšanas un derīguma termiņa datumus
  • Pašreizējo derīgumu
  • Iespējams, vecuma slieksni vai vecuma grupu

Saņemšanas brīdī vajadzētu apstiprināt:

  • Turētājs ir tā pati persona, kas veica iepriekšējo pārbaudi
  • Pašreizējais derīgums
  • Attiecīgās tiesības

Pēc noklusējuma nav nepieciešams:

  • Pilna mājas adrese, ja rezervācijas profilā jau ir kontaktinformācija
  • Pilns dzimšanas datums, ja pietiek ar vecuma pārsniegšanas pierādījumu vai vecuma grupu
  • Nesaistīti identitātes atribūti
  • Atkārtota pilnas apliecības uzrādīšana, ja rezervācijas apliecinājums jau pastāv

NIST pašreizējā mDL arhitektūra parāda, ka paļāvības puse izmanto DCQL, lai pieprasītu tikai nepieciešamos atribūtus, un skaidri norāda, ka tas atbalsta datu minimizēšanu un turētāja piekrišanu, strukturējot pieprasījumu, nevis uzskatot apliecību par vienotu vienību. AAMVA pievieno, ka lietotnei skaidri jāparāda, kādi dati tika pieprasīti un vai pārbaudītājs plāno saglabāt informāciju.

3. Darba Devēji: Pārbaudītāju Kategorija, Nevis Piekļuve Pilnai Identitātei

W3C pārskats izmanto darba devēja digitālo sistēmu, kas pārbauda universitātes grādu, kā pārbaudītāja piemēru. Tas atgādina, ka darba devēja verifikācija jau ir atzīts modelis akreditācijas datu ekosistēmās.

Darba devējam vai autoparka operatoram var likumīgi būt nepieciešams zināt:

  • Vai darbiniekam pašlaik ir tiesības vadīt noteiktas transportlīdzekļu kategorijas
  • Vai pastāv galvenie ierobežojumi
  • Vai tiesības joprojām ir derīgas

Tā ir reāla uzņēmējdarbības vajadzība. Bet tas automātiski neattaisno pastāvīgu piekļuvi visai vadītāja apliecībai, pilniem identitātes datiem vai nepārtrauktai atkārtotu uzrādīšanu virknei.

NIST brīdina, ka bieža atkārtoti lietojama identifikatora pārsūtīšana un lietotāju pieradināšana atkārtoti uzrādīt identitāti saturošu apliecību ir nevēlama, un norāda, ka ikdienas autentifikācijai vajadzētu paļauties uz autentifikācijai paredzētām tehnoloģijām, piemēram, passkey. NIST dod priekšroku lokālai ierīces autentifikācijai salīdzinājumā ar servera puses biometrisko saskaņošanu, jo tā labāk saglabā privātumu.

Nākotnes SAA nedrīkst kļūt par darba vietas piekļuves žetonu.

Darba devēja un autoparka lietošanas gadījumā pareizais modelis parasti ir:

  • Ar darbu saistītas tiesību pārbaude
  • Iespējams, periodisks atbilstības apliecinājums
  • Iespējams, apliecinājums, ka turētājs joprojām ir derīgs noteiktām kategorijām
  • Bet ne noklusējuma visu licences datu pārsūtīšana katru reizi, kad darbinieks piesakās sistēmā vai sāk maiņu

Autoparka atbilstība ir atsevišķa paļāvības puses kategorija ar atsevišķu paredzēto lietojumu un atsevišķu atklāšanas profilu.

4. Apdrošinātāji: Prasības Nav Atļauja Pastāvīgai Piekļuvei

Apdrošināšanas gadījums bieži ir reāls. ES mDL lietošanas gadījumu materiālos apdrošinātāji parādās netieši nomas scenārijā: apdrošināšanas sabiedrības pieprasa automašīnu nomas uzņēmumiem pārbaudīt, vai automašīnu nomājušajai personai ir tiesības to vadīt. Apdrošināšana jau ietekmē vadītāja verifikācijas plūsmu.

Bet tas nenozīmē, ka apdrošinātājam vajadzētu saņemt tos pašus datus kā policijai vai pastāvīgas tiesības piekļūt apliecībai.

Nākotnes SAA vajadzētu uzskatīt apdrošinātājus par atsevišķu pārbaudītāju kategoriju ar atsevišķiem paredzētajiem lietojumiem:

  • Parakstīšana
  • Nomas riska verifikācija
  • Pēczaudējuma prasības izskatīšana
  • Krāpšanas pārskatīšana

Tie nav viens un tas pats mērķis. Saskaņā ar ES datu aizsardzības principiem personas dati jāvāc noteiktiem mērķiem un jāierobežo ar to, kas ir nepieciešams un samērīgs attiecīgajam mērķim. W3C VC norādījumi tehniski nonāk pie tā paša secinājuma: pārbaudītājiem vajadzētu pieprasīt tikai to, kas ir stingri nepieciešams.

Likumīgi, ar notikumu saistīti piemēri:

  • Apliecinājums, ka apliecība bija derīga attiecīgajā brīdī
  • Apliecinājums par attiecīgo transportlīdzekļa kategoriju
  • Identitātes saiknes apliecinājums, ja nepieciešams prasībai
  • Ar prasību saistīta atklāšana

Pēc noklusējuma nav atļauts:

  • Pastāvīga piekļuve pamata apliecībai
  • Atkārtota vispārēja verifikācija katru reizi, kad klients mijiedarbojas ar apdrošinātāju
  • Vadītāja apliecības izmantošana kā pieteikšanās žetons
  • Nesaistītu atribūtu vākšana

Vadītāja apliecība nav uzraudzības abonements. Un tai nevajadzētu klusu klusām par tādu kļūt.

Kāpēc Starpniekiem Jābūt Redzamiem

Reālajos tirgos ir starpnieki. Nomas platformas, autoparka pārdevēji, darba devēju personāla sistēmas un apdrošināšanas prasību apstrādātāji bieži darbojas caur trešajām pusēm.

EUDI arhitektūra to risina šādi:

  • Uzskata starpniekus par paļāvības pusēm
  • Prasa tiem reģistrēties
  • Prasa, lai starpniekotās paļāvības puses pieprasītie atribūti būtu reģistrēti
  • Rāda lietotājam gan starpnieku, gan gala paļāvības pusi
  • Aizliedz starpniekiem glabāt datus par darījuma saturu

Nākotnes SAA nekad nedrīkst atļaut modeli, kurā lietotājs uzskata, ka atklāj datus nomas uzņēmumam, bet patiesībā atklāj tos neredzamam verifikācijas brokeru, analītikas apstrādātāju un prasību pārdevēju ķēdei.

ETSI šeit palīdz. Tā maka paļāvības puses sertifikātu modelis ietver atbalsta URI, paredzēto lietojumu, reģistra URI un uzraudzības iestādes metadatus. Tāda veida mašīnlasāma infrastruktūra ir nepieciešama, lai lietotāji saprastu, kas patiesībā atrodas pieprasījuma otrā galā un kur vērsties, kad viņi vēlas dzēšanu vai labošanu.

Glabāšana ir Daļa no Piekļuves Kontroles

Lielākā daļa diskusiju par selektīvo atklāšanu beidzas pārāk agri. Tās koncentrējas uz to, kas tiek atklāts. Tās nepietiekami koncentrējas uz to, cik ilgi tas paliek pēc tam.

Pašreizējie norādījumi jau konverģē:

  • AAMVA: makam skaidri jāpaziņo turētājam, kādi dati tika pieprasīti un vai pārbaudītājs plāno tos saglabāt; ieinteresētajām pusēm nevajadzētu izsekot turētājiem vai mDL lietošanai, izņemot gadījumos, kad to prasa likums
  • W3C: turētāja programmatūrai vajadzētu nodrošināt ar pārbaudītājiem koplietotās informācijas žurnālus, lai varētu identificēt pārmērīgus pieprasījumus
  • EUDI: lietotājiem vajadzētu spēt piekļūt darījumu žurnāliem, ziņot par aizdomīgiem pieprasījumiem un pieprasīt dzēšanu

Glabāšanas klasei vajadzētu būt daļai no pašas atklāšanas politikas:

  • Policijas ceļmala: pēc noklusējuma nav glabāšanas ārpus likumīgā operacionālā ieraksta
  • Nomas iepriekšējā pārbaude: darījuma ieraksts, kas saistīts ar rezervāciju, nevis atkārtoti izmantojama identitātes kopija
  • Darba devēja autoparka atbilstība: atbilstības ieraksts vai apliecinājuma rezultāts, nevis neapstrādāti apliecības dati
  • Apdrošinātāja prasība: prasības ieraksts, kas ierobežots ar konkrēto prasību, nevis pastāvīga piekļuve

Nākotnes SAA, kas ignorē glabāšanu, saglabā privātumu tikai daļēji.

Ko Makam Patiesībā Vajadzētu Izlemt

Ja man vajadzētu šo visu rakstu reducēt līdz vienam ieviešanas noteikumam, tas būtu šāds:

Makam nevajadzētu atbildēt uz jautājumu “Vai es varu uzrādīt šo apliecību?” Tam vajadzētu atbildēt uz jautājumu “Vai es varu uzrādīt šo prasību kopu šim autentificētajam pārbaudītājam, šim paredzētajam lietojumam, šajā kontekstā, saskaņā ar šo glabāšanas klasi?”

Šim lēmumam vajadzētu balstīties vismaz uz šādiem ievaddatiem:

  • Pārbaudītāja identitāte
  • Pārbaudītāja kategorija
  • Paredzētais lietojums
  • Reģistrētā atribūtu joma
  • Atklāšanas politika no izdevēja, ja tāda pastāv
  • Vide (ceļmala, saņemšana, attālināta, autoparka, prasība)
  • Turētāja apstiprinājums
  • Piemērojamā glabāšanas politika

Standarti jau satur lielu daļu šīs mehānikas: selektīva atklāšana, paļāvības puses autentifikācija, reģistrēts paredzētais lietojums, piekļuves sertifikāti, atklāšanas politikas novērtēšana un ar mērķi saistīti pieprasījumi. Kas joprojām trūkst, ir disciplīna uzskatīt šos elementus par vienu saskaņotu atklāšanas arhitektūru.

Galvenais Arguments

Nākotnes SAA nevajadzētu jautāt, vai datus var atklāt. Tai vajadzētu jautāt:

  • Kas jautā?
  • Kādam nolūkam?
  • Saskaņā ar kādām pilnvarām?
  • Kādā kontekstā?
  • Ar kādām glabāšanas sekām?

Policija, nomas punkti, darba devēji un apdrošinātāji nav četri logotipi pieprasījuma otrā galā. Tie ir četri dažādi riska modeļi, četri dažādi juridiskie konteksti, četri dažādi iemesli jautāt — un tiem vajadzētu radīt četras dažādas atklāšanas kopas.

Tā nav nevajadzīga sarežģītība. Tā ir tas, kā izskatās moderna vadītāja apliecība, kad tā pārstāj uzskatīt katru pārbaudītāju par vienādu pārbaudītāju.

Pieteikties
Lūdzu, ierakstiet savu e-pastu zemāk esošajā laukā un noklikšķiniet uz "Abonēt"
Atcelt
novembris 06, 2017 Saslimšana ceļojuma laikā Saslimšana ceļojuma laikā janvāris 05, 2018 10 labākās valstis, ko apmeklēt Eiropā 10 labākās valstis, ko apmeklēt Eiropā janvāris 12, 2025 Labākās vietas, ko apmeklēt Ungārijā Labākās vietas, ko apmeklēt Ungārijā
Abonējiet un saņemiet pilnīgus norādījumus par starptautiskās vadītāja apliecības iegūšanu un lietošanu, kā arī padomus autovadītājiem ārzemēs