Cosa faresti se qualcuno stesse cercando di rubare i tuoi dati personali utilizzando le leggi sulla protezione della privacy dei dati—che sono destinate a proteggere le informazioni personali delle persone—in un modo nuovo, ma nefasto?
Senza passaggi robusti di verifica dell'identità quando si elabora una richiesta di accesso ai dati di una persona, le aziende possono inconsapevolmente divulgare le loro informazioni sensibili alle persone sbagliate.
Verificare le identità dei consumatori per elaborare le richieste di privacy dei dati
La verifica dell'identità è stata riconosciuta come una grande debolezza nel processo di richiesta del soggetto dei dati o del consumatore proposto da alcune leggi sulla privacy dei dati per dare alle persone accesso alle informazioni personali identificabili (PII) che le aziende detengono su di loro.
L'International Association of Privacy Professionals (IAPP), la più grande comunità globale di privacy delle informazioni al mondo, ha evidenziato i problemi associati alla verifica dell'identità a pagina 28 del suo recentemente pubblicato Privacy Tech Vendor Report il 15 aprile 2020.
In California, il procuratore generale ha proposto emendamenti all'Articolo 4 del regolamento del California Consumer Privacy Act (CCPA) per rafforzare le protezioni di verifica dell'identità quando si elaborano le richieste delle persone di accedere, trasferire o eliminare i loro dati personali. Il regolamento proposto stabilisce che:
“Ogni volta che è possibile, abbina le informazioni identificative fornite dal consumatore alle informazioni personali del consumatore già mantenute dall'azienda, o utilizza un servizio di verifica dell'identità di terze parti che rispetta questa sezione.”
Una soluzione: Esternalizzare la verifica dell'identità
L'anno scorso, ho partecipato alla mia prima conferenza IAPP (Privacy. Security. Risk. 2019), e ho camminato per il piano degli stand dei venditori chiedendo ai dirigenti di diverse aziende di software di gestione della privacy dei dati questa domanda: Come conduci la verifica dell'identità prima di elaborare una richiesta di accesso del soggetto dei dati o del consumatore?
La risposta più comune è stata di esternalizzarla a un fornitore terzo.
| Correlato: Una Guida Completa alla Gestione della Privacy dei Dati → |
Quindi abbiamo creato una nuova categoria su G2.com: software di verifica dell'identità, che può verificare le identità utilizzando diversi approcci, inclusi documenti di identità basati su foto, dati biometrici come selfie dal vivo, e controlli di verifica contro librerie di identità conosciute, come i registri pubblici.
Ma le aziende vogliono davvero acquistare un'altra licenza software per ottenere la verifica dell'identità? I loro utenti sono persino disposti a fornire più dati personali, come una foto di una patente di guida o di un passaporto (copie delle quali possono essere facilmente ottenute nei mercati neri) per ottenere l'accesso ai dati personali sensibili che l'azienda detiene su di loro?
E le aziende sono persino disposte a sopportare i rischi di memorizzare dati sensibili aggiuntivi di una persona?
Un'altra soluzione: Utilizzare i dati dell'azienda per verificare l'identità della persona
Un nuovo approccio per risolvere questo problema è utilizzare i dati che l'azienda ha già sull'individuo per verificare la loro identità. È un'idea nuova che non richiede licenze aggiuntive per essere realizzata. Il fornitore di gestione della privacy dei dati, DataGrail, fornisce un esempio di questo nuovo metodo di verifica dell'identità con il loro Smart Verification, come notato in un comunicato stampa di aprile 2020.
| Uno scenario tipico di verifica dell'identità riuscita utilizzando i dati dell'azienda potrebbe apparire così: |
|
| Correlato: Come Autenticare i Lavoratori Remoti in un Modello di Sicurezza Zero Trust → |
Nel caso di uno scenario di verifica dell'identità non riuscita, un hacker o una persona non autorizzata non sarebbe in grado di procedere in uno dei tre passaggi sopra menzionati.
Questo scenario è particolarmente utile nei casi in cui la persona che richiede l'accesso ai propri dati non ha un account utente con l'azienda.
Se hai account utente, CIAM è un'opzione
Il CCPA consente alle aziende di utilizzare account protetti da password esistenti per elaborare richieste di accesso, trasferimento o eliminazione.
“Se un'azienda mantiene un account protetto da password con il consumatore, l'azienda può verificare l'identità del consumatore attraverso le pratiche di autenticazione esistenti dell'azienda per l'account del consumatore, a condizione che l'azienda segua i requisiti nella sezione 999.323. L'azienda deve anche richiedere al consumatore di ri-autenticarsi prima di divulgare o eliminare i dati del consumatore.”
Le aziende che hanno account utente self-service rivolti ai clienti possono incorporare moduli di accesso ai dati o di richiesta del consumatore per accedere ai loro dati sensibili direttamente all'interno delle applicazioni dell'account utente. Per fornire un metodo di autenticazione dell'identità dell'utente senza soluzione di continuità ma sicuro, le aziende possono utilizzare software di gestione dell'identità e dell'accesso del cliente (CIAM).
Gli strumenti CIAM aiutano le aziende ad autenticare e gestire le identità e le preferenze dei clienti come il consenso o le preferenze di contatto su larga scala. Molte soluzioni CIAM forniscono funzionalità avanzate di autenticazione multi-fattore come notifiche push su dispositivi mobili, biometria o codici QR per l'autenticazione, che sono considerati più sicuri dei codici di accesso una tantum inviati agli account email o tramite SMS. L'ultima funzionalità abilitata su alcuni strumenti CIAM è l'autenticazione senza password, che migliora notevolmente la sicurezza per l'azienda che ora non deve più memorizzare password. Questo riduce l'attrito per l'utente finale che ora può godere di un'esperienza cliente migliorata.
| Correlato: La Guida Definitiva all'Autenticazione Senza Password → |
L'identità è l'anello mancante nell'ecosistema della fiducia
L'“Ecosistema della Fiducia” è spesso descritto come uno sgabello a tre gambe composto da sicurezza, privacy e conformità. Per rendere quello sgabello ancora più sicuro, tuttavia, le aziende stanno aggiungendo una “gamba” aggiuntiva chiamata identità.
Dato il valore monetario che le normative sulla privacy dei dati hanno attribuito ai dati sensibili e personalmente identificabili, garantire che questi dati rimangano nelle mani giuste verificando e autenticando le identità è ora più importante che mai. Possiamo aspettarci di vedere un numero crescente di aziende di identità coinvolte nelle soluzioni di privacy e viceversa, specialmente per quanto riguarda la gestione del consenso degli utenti.
Vuoi saperne di più su Software di Verifica dell'Identità? Esplora i prodotti Verifica dell'identità.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
