Usklađenost s propisima poput GDPR uz FIDO2 autentifikaciju

Da bi legalno poslovale, organizacije moraju zadovoljiti niz sigurnosnih zahtjeva o zaštiti privatnosti proizašlih iz sve šire mreže propisa, zakona i standarda poput GDPR i PSD2. Zajednički nazivnik svih propisa je poticanje snažne autentifikacije.

Snažna autentifikacija pretpostavlja manji broj cyber napada, posebno onih temeljenih na krađi identiteta i takozvanim credential stuffing napadima. Ne postoji industrija koju ovaj problem ne pogađa. Tako napadi poput man-in-the-middle, spear phishing, brute force i credential stuffing godišnje rezultiraju s materijalnom štetom mjerljivom u milijardama dolara.

Pojasnimo samo jedan tip. Credential stuffing napadi su automatizirani i temelje se na listama ukradenih podataka, primjerice vjerodajnica korisnika za pristup financijskim servisima ili mrežnim uslugama. Započinju slanjem niza zahtjeva za autentifikacijom korisnika na određenim servisima i ustvari ne traže stvarnu interakciju s korisnikom.

Kako se zaštititi?

FIDO2 garantira snažnu multi-faktorsku autentifikaciju temeljenju na autentifikaciji bez lozinke. Barem jedan faktor temelji se na kriptografiji s javnim ključem. Kao autentifikacijski standard koji se oslanja na biometrijske podatke ili USB ključeve za autentifikaciju, FIDO2 omogućuje siguran pristup sistemima i aplikacijama.

To znači da FIDO2 efikasno štiti organizacije od phishing, man-in-the-middle i drugih napada koji ciljaju korisničke kredencijale. Upravo zbog toga, FIDO2 zadovoljava zahtjeve za usklađenošću s propisima o zaštiti podataka, primjerice GDPR.

Usklađenost s GDPR regulativom

Prema Općoj uredbi o zaštiti podataka (eng. General Data Protection Regulation), građani Europske unije imaju pravo pristupa, ispravka, brisanja i prijenosa svojih osobnih podataka pohranjenih od strane organizacije. Da bi se ove mogućnosti ispunile, nužno je potvrditi identitet pojedinaca koji ostvaruju ta prava.

To znači da organizacije koje pohranjuju i obrađuju osobne podatke korisnika moraju moći dokazati da je pojedinac taj koji je zatražio promjenu svojih podataka. Ako to nisu u stanju, organizacije mogu biti kažnjene temeljem drugih regulatornih zahtjeva.

Da bi ispunile zahtjeve za multi-faktorskom autentifikacijom, mnoge se organizacije oslanjaju na rješenja koja koriste biometriju kao drugi faktor. Međutim, GDPR biometrijske podatke klasificira kao “osjetljive osobne podatke”. Prema uredbi, obrada biometrijskih podataka bit će zabranjena ako organizacija ne ispunjava nekoliko postavljenih uvjeta.

Jedan od uvjeta koje je potrebno zadovoljiti kako bi se uklonila ograničenja za obradu biometrijskih podataka je lokalno pohranjivanje podataka na uređaju u privatnom vlasništvu. To ujedno znači da ti isti podaci nikada ne smiju napustiti uređaj.  Tijekom procesa autentifikacije, smije se prenositi samo token koji služi kao indikator uspješnosti autentifikacije.

FIDO2 standard i podržani uređaji garantiraju zaštitu osobnih podataka, a organizacijama donose pojednostavljenu i učinkovitiju autentifikaciju. Standard je baziran na kriptografiji javnog ključa, a autentifikacijski ključevi se generiraju i pohranjuju lokalno na autentifikacijskom uređaju. Biometrijski se podaci, pak, pohranjuju i obrađuju samo na uređaju korisnika.

Usklađenost s Direktivom o platnim uslugama (PSD2)

Cilj Direktive Europske unije o platnim uslugama (eng. Payment Services Directive) je stvaranje sigurnijeg europskog sistema plaćanja radi zaštite potrošača. Jedna od ključnih zahtjeva direktive je oslanjanje na Strong Customer Authentication (SCA).

U prijevodu, PSD2 potiče korištenje višestruke provjere autentičnosti, i to kako povreda jednog faktora ne bi ugrozila pouzdanost ostalih faktora. Kako bi zadovoljili ove sigurnosne zahtjeve, pružatelji usluga moraju koristiti “višenamjenski uređaj” (eng. multi-purpose device). Takav uređaj mora garantirati neovisnost faktora za provjeru autentičnosti, i to kroz “upotrebu odvojenih okruženja za sigurno izvršavanje”.

Kako bi ispunile zahtjeve o usklađenosti koje propisuje EBA (eng. European Banking Authority), banke i druge financijske institucije mogu se osloniti na FIDO2 rješenja. Kriptografija javnog ključa eliminira napade proizašle iz iskorištavanja dijeljenih kredencijala poput lozinki. Faktori poput “ono što jeste” i “ono što imate” potvrđuju se uz biometrijske podatke i sigurnosne ključeve. Budući da biometrijski podaci nikad ne napuštaju FIDO2 uređaj, organizacije lakše mogu ispuniti regulatorne zahtjeve.

U zaključku, FIDO2 je praktično rješenje koje integrira sve prednosti PKI-ja, ali uz smanjene troškove upravljanja i šire mogućnosti integracije s drugim uređajima i platformama. Dodatno, FIDO2 garantira jednostavnu implementaciju, jednostavnost korištenja te sigurnu mobilnu autentifikaciju i prijavu u cloud aplikacije.

Zanima vas više informacija? Kontaktirajte nas.