Usklađenost sa propisima kao što je GDPR sa FIDO2 autentifikacijom

Da bi funkcionisale legalno, organizacije moraju da ispune niz zahteva za bezbednost i privatnost koji proističu iz sve šire mreže propisa, zakona i standarda kao što su GDPR. Zajednički imenitelj svih propisa je podsticanje jake autentifikacije.

Jaka autentifikacija pretpostavlja manje sajber napada, posebno onih zasnovanih na krađi identiteta i takozvanim credential stuffing napadima. Ne postoji industrija koja nije pogođena ovim problemom. Dakle, napadi kao što su man-in-the-middle, spear phishing, brute force i credential stuffing godišnje rezultiraju materijalnom štetom merljivom u milijardama dolara.

Na primer, credential stuffing napadi su automatizovani i zasnovani su na listama ukradenih podataka, kao što su korisnički akreditivi za pristup finansijskim uslugama ili onlajn uslugama. Oni počinju tako što šalju niz zahteva za autentifikaciju korisnika na određenim servisima i zapravo ne traže stvarnu interakciju sa korisnikom.

Kako se zaštititi?

FIDO2 garantuje snažnu višefaktorsku autentifikaciju zasnovanu na autentifikaciji bez lozinke. Najmanje jedan faktor je zasnovan na kriptografiji javnog ključa. Kao standard za autentifikaciju koji se oslanja na biometriju ili USB ključeve za autentifikaciju, FIDO2 omogućava siguran pristup sistemima i aplikacijama.

To znači da FIDO2 efikasno štiti organizacije od phishing-a, man-in-the-middle napada i drugih napada koji ciljaju na korisničke akreditive. Upravo zbog toga, FIDO2 ispunjava uslove za usklađenost sa propisima o zaštiti podataka, na primer GDPR.

Usklađenost sa GDPR uredbom

Prema Opštoj uredbi o zaštiti podataka, građani Evropske unije imaju pravo pristupa, ispravljanja, brisanja i prenosa svojih ličnih podataka koje čuva organizacija. Da bi se ove mogućnosti ispunile, potrebno je potvrditi identitet pojedinaca koji ostvaruju ova prava.

To znači da organizacije koje čuvaju i obrađuju lične podatke korisnika moraju biti u stanju da dokažu da je pojedinac taj koji je zahtevao promenu njihovih podataka. Ako to nisu u mogućnosti, organizacije mogu biti kažnjene na osnovu drugih regulatornih zahteva.

Da bi ispunile zahteve višefaktorske autentifikacije, mnoge organizacije se oslanjaju na rešenja koja koriste biometriju kao drugi faktor. Međutim, GDPR klasifikuje biometrijske podatke kao „osetljive lične podatke“. Prema uredbi, obrada biometrijskih podataka biće zabranjena ako organizacija ne ispunjava više postavljenih uslova.

Jedan od uslova koji mora biti ispunjen da bi se uklonila ograničenja u obradi biometrijskih podataka je lokalno skladištenje podataka na uređaju u privatnom vlasništvu. To takođe znači da isti podaci nikada ne smeju da napuste uređaj. Tokom procesa autentifikacije, može se preneti samo token koji služi kao indikator uspeha autentifikacije.

Standard FIDO2 i podržani uređaji garantuju zaštitu ličnih podataka i donose pojednostavljenu i efikasniju autentifikaciju organizacijama. Standard je zasnovan na kriptografiji javnog ključa, a ključevi za autentifikaciju se generišu i čuvaju lokalno na uređaju za autentifikaciju. Biometrijski podaci se, s druge strane, čuvaju i obrađuju samo na uređaju korisnika.

Usklađenost sa Direktivom o platnim uslugama (PSD2)

Cilj Direktive o platnim uslugama (eng. Payment Services Directive) Evropske unije je stvaranje sigurnijeg evropskog sistema plaćanja radi zaštite potrošača. Jedan od ključnih zahteva direktive je oslanjanje na Strong Customer Authentication (SCA).

U prevodu, PSD2 podstiče upotrebu višestruke autentifikacije, tako da kršenje jednog faktora ne ugrozi pouzdanost drugih faktora. Da bi ispunili ove bezbednosne zahteve, provajderi usluga moraju da koriste „višenamenski uređaj“. Takav uređaj mora da garantuje nezavisnost faktora autentifikacije kroz „upotrebu odvojenih bezbednih okruženja za izvršavanje“.

Da bi ispunile zahteve usklađenosti koje je postavila EBA (eng. European Banking Authority), banke i druge finansijske institucije mogu se osloniti na FIDO2 rešenja. Kriptografija javnog ključa eliminiše napade izvedene iz iskorišćavanja zajedničkih akreditiva kao što su lozinke. Faktori poput „šta ste“ i „šta imate“ se proveravaju biometrijskim podacima i bezbednosnim ključevima. Pošto biometrijski podaci nikada ne napuštaju FIDO2 uređaj, organizacije mogu lakše da ispune regulatorne zahteve.

Zaključno, FIDO2 je praktično rešenje koje integriše sve prednosti PKI-a, ali sa smanjenim troškovima upravljanja i širim mogućnostima integracije sa drugim uređajima i platformama. Pored toga, FIDO2 garantuje jednostavnu implementaciju, jednostavnu upotrebu i sigurnu mobilnu autentifikaciju i prijavljivanje u aplikacije u oblaku.

Zainteresovani za više informacija? Kontaktirajte nas.