I dati sensibili dei clienti sono un bene o una passività? Quando pensiamo alle aziende di maggior successo negli ultimi anni che hanno sfruttato i dati dei clienti per costruire vantaggi competitivi—come le aziende FAANG (Facebook, Amazon, Apple, Netflix e Google)—pensiamo ai dati dei clienti come a un bene.
Tuttavia, con l'aumento dei data breach e l'introduzione e l'applicazione di regolamenti globali sulla privacy dei dati, i leader aziendali ora comprendono che i dati dei clienti, in particolare i dati sensibili come le informazioni personali identificabili (PII), possono essere una passività per l'azienda.
Un modo per le aziende di ridurre questo rischio di memorizzare dati sensibili dei clienti è non memorizzare affatto i dati dei clienti, come i dati di identità, impiegando soluzioni di identità decentralizzata.
Centrare l'identità sull'individuo
Con i modelli attuali di software di gestione dell'identità centralizzati, un'azienda conserva le PII dell'utente finale, come nome, indirizzo email, password e altri identificatori per autenticare l'utente online. Al contrario, gli strumenti di identità decentralizzata mettono l'utente al centro dell'equazione dell'identità e in carico dei propri dati online.
Che cos'è il Software di Identità Decentralizzata?
Il software di identità decentralizzata consente agli utenti finali, come i clienti, di mantenere il controllo diretto sulle loro informazioni di identità e di condividere o revocare facilmente l'accesso a tali dati. I dati di identità rimangono in possesso dell'utente finale e l'azienda si limita a convalidare l'identità o qualsiasi altra informazione sensibile dell'utente.
Il concetto di un individuo che ha il controllo diretto sulla propria identità digitale senza l'uso di un registro centralizzato, un fornitore di identità o un'autorità di certificazione è chiamato identità auto-sovrana (SSI).
Ad esempio, nel mondo fisico, per entrare in un bar con una politica di età minima, un cliente deve dimostrare la propria età presentando la data di nascita su un documento di identità (ID) rilasciato dal governo. Il buttafuori del bar confermerebbe l'identità del cliente confrontando la foto dell'ID con il volto della persona e poi controllando la data di nascita. Facendo così, il buttafuori è anche in grado di vedere altre informazioni identificative come nome, indirizzo fisico e altro sull'ID.
In uno scenario di identità decentralizzata, il cliente avrebbe solo bisogno di condividere una carta digitale che attesti che soddisfa il requisito di età, ma non i dati effettivi (data di nascita specifica) stessi.
| Correlato: Il Problema Evidente con la Verifica delle Identità dei Consumatori → |
Come funzionano le soluzioni di identità decentralizzata?
Nell'ecosistema attuale dell'identità digitale, la convalida dell'identità digitale di una persona è più comunemente ottenuta attraverso credenziali basate su account. Gli utenti possono avere più account e spesso usano gli stessi nomi utente e password su di essi per ridurre l'attrito del login, ma questo introduce il rischio di credenziali hackerate. Alcune credenziali basate su account sono fornite da fornitori di identità centralizzati, come i fornitori di login social, e poi federate a terze parti. Ci sono rischi associati a questo modello, inclusi tempi di inattività con il fornitore di identità, o il tracciamento dell'utente su più account.
Quindi, come funziona l'identità decentralizzata in modo diverso dalle credenziali basate su account?
Non esiste un archivio centrale di dati di identità. Invece, l'utente porta le proprie credenziali di identità digitale, che sono state concesse loro da un'autorità fidata, per essere verificate dall'organizzazione che cerca di convalidare la loro identità.
| Ci sono tre parti principali in un caso d'uso di identità decentralizzata: |
|
L'emittente fornisce una credenziale a una persona spesso dopo un tipico processo di verifica nel mondo reale. Ad esempio, un nuovo assunto in un'azienda dovrebbe presentare il proprio documento d'identità fisico, compilare documenti e poi ricevere un badge fisico e una credenziale digitale per dipendenti. La credenziale crea una coppia di chiavi crittografiche:
- Una chiave pubblica che è memorizzata in un registro distribuito tramite un identificatore decentralizzato unico (DID) per consentire a un verificatore di cercarla quando necessario.
- Una chiave privata che è memorizzata in un portafoglio di credenziali sul loro dispositivo mobile, che il nuovo assunto può usare per l'autenticazione per accedere agli account dei dipendenti, come un account email aziendale.
Per autenticare la propria identità utente, il nuovo assunto (il soggetto) presenterebbe la propria chiave pubblica associata alla credenziale del dipendente al fornitore di email (il verificatore), che poi la cercherà nel registro pubblico. Il registro restituisce il DID unico e presenta una sfida per la chiave privata del dipendente a cui rispondere. Se il dipendente possiede la chiave privata corretta legata al DID associato alla chiave pubblica, allora l'utente è autenticato e verificato e quindi gli viene concesso l'accesso all'account email.
Nello scenario sopra, il fornitore di email non ha bisogno di memorizzare informazioni sensibili sull'identità dell'utente. L'autenticazione è fatta basandosi sulla fiducia dall'emittente della credenziale che ha dato al dipendente una credenziale e ha scritto queste informazioni su un registro pubblico per altri da verificare.
Identità decentralizzata per una sicurezza e un'autenticazione migliorate
Nei modelli attuali, i dati di identità possono essere difficili da proteggere, convalidare e spesso aggiungono un'attrito frustrante al processo di autenticazione dell'utente. Ad esempio, le password da sole non sono un modo affidabile per autenticare che una persona sia chi dice di essere online. Molti strumenti come il software di autenticazione multi-fattore (MFA) sono emersi per affrontare questo, ma possono essere un fastidio per l'utente finale. Allo stesso modo, le identità false sono frequentemente e facilmente create su piattaforme social, il che rende i login social una fonte inaffidabile per scopi di verifica dell'identità. Per combattere questa preoccupazione, le aziende possono impiegare software di rilevamento delle frodi per transazioni ad alto rischio.
Con l'identità decentralizzata, tuttavia, le aziende non devono memorizzare informazioni sensibili sugli utenti, il che riduce o addirittura elimina completamente il rischio di compromissione delle informazioni personali identificabili (PII) nei data breach.
Le aziende non devono nemmeno investire in prodotti di sicurezza come il software di crittografia per proteggere i dati di identità che non esistono in primo luogo. Inoltre, poiché non c'è bisogno di memorizzare informazioni sensibili come le PII, il costo di archiviazione dei dati e del software di gestione dell'archiviazione è ridotto.
Come impatta il mercato dell'identità esistente
L'identità decentralizzata è nuova e di nicchia al momento, e i giocatori stanno rivendicando una posizione nel mercato, come notato nella categoria recentemente creata da G2 per il software di identità decentralizzata. Colossi del software come Microsoft e IBM stanno entrando nello spazio come Microsoft ha annunciato il loro pilota di identità decentralizzata a settembre 2020 mentre IBM ha una versione alpha del loro prodotto di identità decentralizzata disponibile.
Inoltre, l'identità decentralizzata può essere vista come una continuazione di una tendenza già in atto in uno spazio adiacente della privacy dei dati. Il concetto di centrare gli individui nell'ecosistema dei dati è una tendenza emergente—la tecnologia di privacy dei dati centrata sulle persone cerca di operazionalizzare al meglio il rispetto delle scelte degli individui riguardo ai dati che un'azienda conserva su di loro. Per raggiungere questo obiettivo, le aziende devono smettere di pensare ai dati come se fossero conservati in silos, ma piuttosto organizzati attorno all'individuo.
| Leggi di più: Tendenze 2021 nella Tecnologia di Privacy dei Dati Centrata sulle Persone → |
Come l'identità decentralizzata impatta il mercato dell'identità esistente solleva alcune grandi domande. Come impatterà i fornitori di identità di oggi? Come impatterà i fornitori di software di single sign-on (SSO) o le aziende che offrono gestori di password? Come impatterà gli inserzionisti che si affidano ai dati dei clienti (non solo ai dati di identità)? Non abbiamo le risposte, ma è essenziale porre le domande.
Modificato da Sinchana Mistry
Vuoi saperne di più su Software di gestione delle identità? Esplora i prodotti Gestione dell'identità.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
