MEDZINÁRODNÝ VODIČSKÝ ÚRAD
Prihlásenie
Použiť
  1. Domovská stránka
    2.  / 
  2. Blog
    3.  / 
  3. Polícia, Požičovne, Zamestnávatelia, Poisťovatelia: Prečo nesmú vidieť rovnaké údaje
Suggested languages
EN anglický AF afrikánčina AM amharčina AR arabčina AZ azerbajdžanský BE bieloruský BG bulharčina BN bengálsky BS bosniansky CS český DA dánsky DE nemecký EL grécky ES španielsky ET estónsky FA perzský FI fínsky FIL Filipino FR francúzsky GA írsky HE hebrejčina HI hindčina HR chorvátsky HU maďarský ID indonézsky IT taliansky JA japonský KA gruzínsky KK kazašský KM khmérsky KO kórejský KY kirgizský LO Lao LT litovský LV lotyšský MK macedónsky MN mongolský MS malajčina MY barmský NE nepálsky NL holandský NO nórsky PA pandžábsky PL poľský PS pašto PT portugalský RO rumunský RU ruský SI sinhálsky
SK slovenský
SL slovinský SQ albánsky SR srbský SW svahilský TA tamilský TG tadžický TH thajčina TK turkménsky TR turecký UK ukrajinský UR urdčina VI vietnamčina ZH čínsky

Blog languages
CA katalánsky HY arménsky IS islandský JV jávsky MT maltčina SV švédsky UZ uzbecký
Polícia, Požičovne, Zamestnávatelia, Poisťovatelia: Prečo nesmú vidieť rovnaké údaje

Polícia, Požičovne, Zamestnávatelia, Poisťovatelia: Prečo nesmú vidieť rovnaké údaje

Najväčšia chyba pri navrhovaní budúceho Medzinárodného vodičského oprávnenia (MVO) by bolo zaobchádzanie s každým overovateľom ako s rovnakým overovateľom. Policajt, pracovník požičovne áut, zamestnávateľ a poisťovateľ nekládú rovnaké otázky — preto by nemali dostávať rovnakú odpoveď.

Jeden vodič. Jedno základné právo viesť vozidlo. Jedna peňaženka. Ale štyri úplne odlišní overovatelia:

  • Policajt pri cestnej kontrole
  • Pracovník požičovne pri prevzatí vozidla
  • Zamestnávateľ overujúci spôsobilosť na vozový park
  • Poisťovateľ posudzujúci nárok

Ak budúce MVO zobrazuje rovnaké údaje všetkým štyrom, systém už zlyhal. Nie preto, že doklad nie je bezpečný, ale preto, že model sprístupnenia je príliš jednoduchý.

Komunita odborníkov na štandardy sa od tohto jednoduchého modelu už odkláňa. Práca W3C na overiteľných povereniach opisuje ekosystém vydavateľov, držiteľov a overovateľov, pričom ako príklady overovateľov uvádza zamestnávateľov a webové stránky. Práca EÚ na mobilnom vodičskom preukaze (mVP) už zaobchádza s cestnými kontrolami a požičovňami áut ako so samostatnými scenármi overovania, vrátane vzdialeného predbežného zdieľania pre požičovne a osobných kontrol pre políciu. Architektúra je už navrhnutá pre viacero typov overovateľov. Chybou by bolo navrhovanie používateľského zážitku, akoby existoval iba jeden typ.

Prečo nás fyzická karta naučila myslieť nesprávne

Fyzický preukaz nás naučil prístupu „ukáž všetko”. Odovzdáte kartu. Druhá osoba vidí, čo je na karte. To je celá interakcia.

Takýto prístup je v papierovom svete prijateľný, pretože neexistuje alternatíva. V digitálnom svete sa stáva neprijateľným.

Dátový model W3C VC 2.0 uvádza priamo: vodičský preukaz môže obsahovať číslo dokladu, výšku, hmotnosť, dátum narodenia a domácu adresu — to však môže byť stále oveľa viac, ako je potrebné pre danú transakciu. Kľúčové body zo súčasných štandardov:

  • Najlepšia prax W3C: podporovať selektívne sprístupnenie a požadovať iba to, čo je nevyhnutne potrebné
  • Usmernenie EÚ o ochrane údajov: spracovanie musí byť obmedzené na stanovené účely a spracovávané údaje musia byť nevyhnutné a primerané
  • Prvý princíp budúceho MVO: rovnaký doklad neznamená rovnaké právo na prístup k údajom

Správny model je sprístupnenie na základe politík

Ak chcete serióznu architektúru, správny model je bližší riadeniu prístupu na základe atribútov než prezentácii digitálnej karty.

NIST SP 800-205 definuje rozhodnutia o riadení prístupu ako vyhodnotenia atribútov spojených so subjektom, objektom, požadovanou operáciou a podmienkami prostredia voči politike. To je presne správna štruktúra pre budúce MVO:

  • Subjekt: vodič
  • Objekt: požadované dátové polia
  • Akcia: nie abstraktné „zobraziť preukaz”, ale niečo konkrétne ako „overiť oprávnenie viesť vozidlá kategórie B pri cestnej kontrole” alebo „overiť spôsobilosť na prenájom pre konkrétnu rezerváciu”
  • Prostredie: cestná kontrola, prepážka požičovne, vzdialená predbežná kontrola, registrácia vozového parku a posúdenie nároku po poistnej udalosti sú rôzne prostredia a mali by viesť k rôznym rozhodnutiam

NIST tiež poznamenáva, že systémy atribútov vyžadujú granularitu, správu a mechanizmy pre redukciu, zoskupovanie a minimalizáciu atribútov.

Budúce MVO by teda nemalo klásť otázku: Môže tento overovateľ čítať preukaz? Malo by klásť otázku: Ktoré tvrdenia môže tento overovateľ získať, na aký zamýšľaný účel, v akom prostredí a s akými pravidlami uchovávania?

Overovateľ by sa mal identifikovať pred podaním akejkoľvek žiadosti

Budúce MVO by nemalo začínať tým, že peňaženka zobrazuje údaje. Malo by začínať tým, že overovateľ preukáže svoju totožnosť.

Architektúra EUDI je v tomto jasná. Spoliehajúce sa strany musia:

  • Zaregistrovať, aké atribúty zamýšľajú požadovať a na aký účel
  • Získať prístupové certifikáty
  • Autentifikovať sa voči peňaženke pred akýmkoľvek sprístupnením
  • Byť overené voči ich registrovanému rozsahu, ak sú k dispozícii registračné informácie

Používateľ potom môže vidieť, kto sa pýta, čo sa požaduje a či je žiadosť v rámci registrovaného rozsahu.

Súčasná práca ETSI na certifikátoch spoliehajúcich sa strán peňaženky to robí konkrétnejším. Registračný certifikát spoliehajúcej sa strany peňaženky môže opisovať zamýšľané použitie spoliehajúcej sa strany a atribúty, ktoré si zaregistrovala na požadovanie. Súvisiaci prístupový certifikát existuje na zabezpečenie toho, aby žiadosť pochádzala od legitímnej, oprávnenej strany. ETSI tiež zahŕňa metadáta spoliehajúcej sa strany, ako napríklad:

  • Obchodný názov
  • URI podpory
  • Zamýšľané použitie
  • Oprávnenia
  • URI registra
  • Informácie o dozornom orgáne

Druhý princíp budúceho MVO: bez identity overovateľa, žiadne sprístupnenie.

Prečo obrazovky súhlasu nestačia

Tu je ďalšia chyba: zaobchádzanie so súhlasom používateľa ako s totožnou vecou s právnou legitimitou.

Architektúra EUDI výslovne hovorí, že súhlas používateľa s prezentáciou atribútov sa nesmie považovať za právny základ pre spracovanie osobných údajov zo strany spoliehajúcej sa strany. Spoliehajúca sa strana musí mať stále vlastný právny základ. EUDI tiež vyžaduje súhlas používateľa vo všetkých prípadoch použitia, vrátane prípadov, keď spoliehajúca sa strana môže byť súčasťou orgánov presadzovania práva alebo inej vládnej agentúry.

Dobré rozhranie peňaženky môže pomôcť, ale samo o sebe nedokáže vyriešiť prekročenie právomocí overovateľa. Pravidlo musí existovať ešte pred rozhraním.

Budúce MVO preto potrebuje oboje:

  • Kryptografická autentifikácia overovateľa na potvrdenie, kto sa pýta
  • Politické obmedzenia pre to, čo môže daná kategória overovateľa požadovať

Bez oboch sa „voľba používateľa” stáva spôsobom, ako presunúť zlyhanie politiky na jednotlivca.

Matica tried overovateľov

1. Polícia: Overte právo viesť vozidlo, nie celú osobu

Scenár cestnej kontroly políciou je najzameranejší.

Príručka EÚ mVP to opisuje priamo: polícia alebo iní úradníci kontrolujú preukaz, keď je to potrebné, vrátane platnosti preukazu a oprávnení na vozidlo. V ceste používateľa policajt overuje preukaz prostredníctvom toku spusteného QR kódom, Bluetooth, Wi-Fi Aware alebo NFC. Ide o zameranú overovaciu úlohu:

  • Je táto osoba držiteľom?
  • Je doklad platný?
  • Aké oprávnenia na vozidlá a obmedzenia platia?

Predvolene povolené:

  • Meno
  • Portrét
  • Stav preukazu
  • Dátumy vydania a platnosti
  • Kategórie
  • Obmedzenia relevantné pre vedenie vozidla
  • Vydavateľ a jurisdikcia
  • Výsledok čerstvosti/stavu

Predvolene nepovolené:

  • Domáca adresa
  • Interné identifikátory nepotrebné pri cestnej kontrole
  • Nesúvisiace atribúty z iných osvedčení
  • Historické záznamy prezentácií
  • Komerčné metadáta

Implementačné usmernenie AAMVA posilňuje bod o portréte: ak je portrét požadovaný a akýkoľvek iný prvok je sprístupnený, portrét by mal byť zdieľaný, aby mohol overovateľ prepojiť údaje s osobou, ktorá ich predkladá. Rovnaké usmernenie tiež hovorí, že zainteresované strany nesmú sledovať držiteľov mVP ani používanie mVP, okrem prípadov vyžadovaných zákonom.

Prípad polície nie je o tom, že štát dostáva všetko. Je o tom, že štát dostáva údaje týkajúce sa vedenia vozidla potrebné na presadzovanie pravidiel pri cestnej kontrole. To je dôležitý rozdiel.

2. Požičovne: Spôsobilosť, overenie totožnosti a nič zbytočné

Prípad požičovne je podrobnejší, pretože existujú naozaj dva momenty: vzdialená predbežná kontrola pred príchodom a prevzatie, keď osoba alebo kiosk odovzdáva kľúče.

Príručka EÚ mVP modeluje oba prípady. Služba požičovne áut môže pri rezervácii požadovať mVP spolu s dokladom totožnosti, overiť osvedčenia a neskôr osobne overiť zákazníka pri prevzatí pred odovzdaním vozidla. Používatelia môžu zdieľať svoje mVP so spoločnosťami požičovní áut osobne alebo na diaľku vopred.

Požičovňa primárne nepotrebuje vyšetrovať incident. Potrebuje rozhodnúť: Môžem prenajať toto vozidlo tomuto zákazníkovi na základe tejto rezervácie a podmienok?

Vzdialená predbežná kontrola by mala zahŕňať:

  • Prepojenie totožnosti
  • Portrét alebo ekvivalentný prvok viažuci totožnosť
  • Relevantnú kategóriu vozidla
  • Dátumy vydania a platnosti
  • Aktuálnu platnosť
  • Prípadne vekovú hranicu alebo vekovú skupinu

Prevzatie by malo potvrdiť:

  • Držiteľ je tou istou osobou, ktorá dokončila predbežnú kontrolu
  • Aktuálnu platnosť
  • Relevantné oprávnenia

Predvolene nepotrebné:

  • Úplná domáca adresa, keď profil rezervácie už obsahuje kontaktné údaje
  • Úplný dátum narodenia, keď postačuje potvrdenie veku alebo veková skupina
  • Nesúvisiace atribúty totožnosti
  • Opakovaná opätovná prezentácia celého dokladu, ak rezervačné osvedčenie už existuje

Súčasná architektúra mVP od NIST ukazuje, že spoliehajúca sa strana používa DCQL na požadovanie iba potrebných atribútov, a výslovne uvádza, že to podporuje minimalizáciu údajov a súhlas držiteľa štruktúrovaním žiadosti namiesto zaobchádzania s dokladom ako s jednou celkovou jednotkou. AAMVA dodáva, že aplikácia by mala jasne zobrazovať, aké údaje boli požadované a či overovateľ zamýšľa informácie uchovávať.

3. Zamestnávatelia: Kategória overovateľa, nie prístup k celej totožnosti

Prehľad W3C používa ako príklad overovateľa digitálny systém zamestnávateľa overujúci univerzitný diplom. To nám pripomína, že overenie zo strany zamestnávateľa je už uznávaným vzorcom v ekosystémoch dokladov.

Zamestnávateľ alebo prevádzkovateľ vozového parku môže legitímne potrebovať vedieť:

  • Či je pracovník aktuálne oprávnený viesť určité kategórie vozidiel
  • Či existujú kľúčové obmedzenia
  • Či oprávnenie zostáva platné

To je skutočná obchodná potreba. Ale automaticky to neoprávňuje trvalý prístup k celému vodičskému dokladu, úplným identifikačným údajom ani nepretržitému prúdu opakovaných prezentácií.

NIST varuje, že časté prenášanie opakovane použiteľného identifikátora a podmieňovanie používateľov, aby opakovane predkladali doklad obsahujúci totožnosť, je nežiaduce, a hovorí, že každodenná autentifikácia by mala spoliehať na technológie navrhnuté na autentifikáciu, ako sú passkeys. NIST uprednostňuje lokálnu autentifikáciu zariadenia pred biometrickým porovnaním na strane servera, pretože lepšie chráni súkromie.

Budúce MVO by sa nemalo stať prístupovým preukazom na pracovisku.

Pre zamestnávateľov a vozové parky je správny vzorec zvyčajne:

  • Kontrola oprávnenia relevantného pre pracovné miesto
  • Prípadne periodické osvedčenie o súlade
  • Prípadne tvrdenie, že držiteľ zostáva platný pre určené kategórie
  • Ale nie predvolený prenos všetkých údajov preukazu zakaždým, keď sa zamestnanec prihlási do systému alebo začne smenu

Súlad vozového parku je samostatná kategória spoliehajúcej sa strany s samostatným zamýšľaným použitím a samostatným profilom sprístupnenia.

4. Poisťovatelia: Nároky nie sú povolením na nepretržitú viditeľnosť

Prípad poistenia je často reálny. V materiáloch EÚ o prípadoch použitia mVP sa poisťovatelia nepriamo objavujú v scenári požičovne: poisťovne požadujú, aby si spoločnosti požičiavajúce autá overili, či má osoba prenajímajúca auto právo viesť vozidlo. Poistenie už ovplyvňuje tok overovania vedenia vozidla.

To však neznamená, že poisťovateľ by mal dostávať rovnaké údaje ako polícia alebo trvalé právo na prístup k dokladu.

Budúce MVO by malo zaobchádzať s poisťovateľmi ako so samostatnou kategóriou overovateľov s oddelenými zamýšľanými použitiami:

  • Upisovanie
  • Overenie rizika prenájmu
  • Vybavovanie nárokov po poistnej udalosti
  • Preverovanie podvodov

To nie je rovnaký účel. Podľa zásad ochrany údajov EÚ musia byť osobné údaje zhromažďované na stanovené účely a obmedzené na to, čo je nevyhnutné a primerané pre daný účel. Technické usmernenie W3C VC dospelo k rovnakému záveru: overovatelia by mali požadovať iba to, čo je nevyhnutne potrebné.

Legitímne, udalosťou podmienené príklady:

  • Doklad, že preukaz bol platný v relevantnom momente
  • Doklad o príslušnom oprávnení na vozidlo
  • Doklad o prepojení totožnosti, kde je to potrebné pre nárok
  • Sprístupnenie špecifické pre daný nárok

Predvolene nepovolené:

  • Trvalý prístup k základnému dokladu
  • Opakované všeobecné overovanie zakaždým, keď zákazník interaguje s poisťovateľom
  • Použitie vodičského dokladu ako prihlasovacieho tokenu
  • Zhromažďovanie nesúvisiacich atribútov

Vodičský doklad nie je predplatným monitorovania. A nemal by sa ním potichu stávať.

Prečo musia byť sprostredkovatelia viditeľní

Skutočné trhy zahŕňajú sprostredkovateľov. Platformy požičovní, predajcovia flotíl, HR systémy zamestnávateľov a spracovatelia poistných nárokov často konajú prostredníctvom tretích strán.

Architektúra EUDI to rieši tým, že:

  • Zaobchádza so sprostredkovateľmi ako so spoliehajúcimi sa stranami
  • Vyžaduje ich registráciu
  • Vyžaduje, aby boli zaregistrované atribúty požadované pre sprostredkovanú spoliehajúcu sa stranu
  • Zobrazuje používateľovi sprostredkovateľa aj konečnú spoliehajúcu sa stranu
  • Zakazuje sprostredkovateľom uchovávať údaje o obsahu transakcie

Budúce MVO by nikdy nemalo umožňovať vzorec, pri ktorom si používateľ myslí, že sprístupňuje údaje požičovni, ale v skutočnosti ich sprístupňuje neviditeľnému reťazcu overovacích brokerov, analytických spracovateľov a predajcov nárokov.

ETSI tu pomáha. Jeho model certifikátu spoliehajúcej sa strany peňaženky zahŕňa URI podpory, zamýšľané použitie, URI registra a metadáta dozorného orgánu. To je typ strojovo čitateľnej infraštruktúry potrebnej na to, aby používatelia pochopili, kto je skutočne na druhom konci žiadosti a kam sa obrátiť, keď požadujú vymazanie alebo opravu.

Uchovávanie je súčasťou riadenia prístupu

Väčšina diskusií o selektívnom sprístupnení končí príliš skoro. Zameriavajú sa na to, čo je sprístupnené. Dostatočne sa nezameriavajú na to, ako dlho to zostáva sprístupnené.

Súčasné usmernenia sa už zbiehajú:

  • AAMVA: peňaženka musí jasne informovať držiteľa o tom, aké údaje boli požadované a či overovateľ zamýšľa informácie uchovávať; zainteresované strany nesmú sledovať držiteľov ani používanie mVP, okrem prípadov vyžadovaných zákonom
  • W3C: softvér držiteľa by mal poskytovať záznamy o informáciách zdieľaných s overovateľmi, aby bolo možné identifikovať nadmerné žiadosti
  • EUDI: používatelia by mali mať prístup k záznamom transakcií, hlásiť podozrivé žiadosti a žiadať o vymazanie

Trieda uchovávania by mala byť súčasťou samotnej politiky sprístupnenia:

  • Cestná kontrola políciou: predvolene bez uchovávania okrem zákonného operačného záznamu
  • Predbežná kontrola požičovne: záznam transakcie viazaný na rezerváciu, nie opakovane použiteľná kópia totožnosti
  • Súlad vozového parku zamestnávateľa: záznam súladu alebo výsledok osvedčenia, nie surové údaje dokladu
  • Nárok poisťovateľa: záznam nároku obmedzený na daný nárok, nie trvalý prístup

Budúce MVO, ktoré ignoruje uchovávanie, je iba čiastočne zachovávajúce súkromie.

Čo by mala peňaženka skutočne rozhodovať

Keby som musel celý tento článok zredukovať na jedno implementačné pravidlo, bolo by to toto:

Peňaženka by nemala odpovedať na otázku „Môžem predložiť tento doklad?” Mala by odpovedať na otázku „Môžem predložiť túto sadu tvrdení tomuto autentifikovanému overovateľovi, na tento zamýšľaný účel, v tomto kontexte, pod touto triedou uchovávania?”

Toto rozhodnutie by malo byť riadené aspoň týmito vstupmi:

  • Totožnosť overovateľa
  • Kategória overovateľa
  • Zamýšľané použitie
  • Registrovaný rozsah atribútov
  • Politika sprístupnenia od vydavateľa, ak je k dispozícii
  • Prostredie (cestná kontrola, prevzatie, vzdialené, vozový park, nárok)
  • Súhlas držiteľa
  • Platná politika uchovávania

Štandardy už obsahujú väčšinu mechanizmov pre toto: selektívne sprístupnenie, autentifikáciu spoliehajúcej sa strany, registrované zamýšľané použitie, prístupové certifikáty, vyhodnotenie politiky sprístupnenia a žiadosti viazané na účel. Čo stále chýba, je disciplína zaobchádzať s týmito prvkami ako s jednou súdržnou architektúrou sprístupnenia.

Hlavný argument

Budúce MVO by nemalo klásť otázku, či môžu byť údaje sprístupnené. Malo by klásť otázku:

  • Kto sa pýta?
  • Na aký účel?
  • Na základe akého oprávnenia?
  • V akom kontexte?
  • S akými dôsledkami uchovávania?

Polícia, požičovne, zamestnávatelia a poisťovatelia nie sú štyri logá na druhom konci žiadosti. Sú to štyri rôzne modely rizika, štyri rôzne právne kontexty, štyri rôzne dôvody na pýtanie sa — a mali by produkovať štyri rôzne sady sprístupnenia.

To nie je zbytočná zložitosť. To je to, ako vyzerá moderný vodičský doklad, keď prestane zaobchádzať s každým overovateľom ako s rovnakým overovateľom.

Použiť
Prosím, zadajte svoj email do poľa nižšie a kliknite "Prihlásiť sa"
Zrušiť
máj 11, 2018 Kazaň a Majstrovstvá sveta vo futbale 2018 Kazaň a Majstrovstvá sveta vo futbale 2018 február 09, 2025 Najlepšie miesta na návštevu v Bulharsku Najlepšie miesta na návštevu v Bulharsku december 07, 2025 Najlepšie miesta na návštevu v Egypte Najlepšie miesta na návštevu v Egypte
Prihláste sa na odber a získajte pokyny na získanie a používanie medzinárodného vodičského preukazu spolu s radami pre vodičov v zahraničí