Digital Identity Management in the Context of GDPR & Sovrin

in #cryptocurrency6 years ago

Informasi Pribadi sebagai Makanan Data Besar

Di negara maju, pertempuran untuk privasi bisa dibilang salah satu yang paling penting untuk diatasi dalam hidup kita. Informasi pribadi pribadi kita dan (seharusnya) dikumpulkan secara massal oleh perusahaan besar dan kecil, dijual untuk keuntungan yang besar, dan kemudian digunakan untuk memberi makan "mesin data besar", di mana semua titik data ini berkorelasi dan lebih lanjut. digunakan untuk menghasilkan prospek untuk pihak ketiga.

dd.jpg

Ini mungkin terdengar relatif tidak bersalah, tetapi dapat (dan telah, dalam banyak kasus) menjadi demokrasi, - dan masalah yang mengancam kesetaraan ketika digunakan untuk memangsa bagian-bagian yang sudah dirugikan dari populasi kita. Bayangkan ini dalam bentuk menggunakan algoritme untuk menawarkan pinjaman gaji "menarik" kepada orang-orang yang sudah berada dalam kesulitan keuangan, yang diperkirakan tidak dididik secara fiskal cukup untuk mengetahui bahwa hal itu akan menempatkan mereka dalam utang selamanya; atau algoritme yang menyaring aplikasi universitas / pekerjaan dari kode pos tertentu (dari lingkungan yang relatif miskin) demi “efisiensi”, sangat membatasi peluang bagi mereka yang paling membutuhkannya; atau bahkan lebih buruk lagi: model LSI-R untuk memperkirakan risiko residivisme yang membentuk lingkaran umpan balik yang berbahaya yang secara efektif berkontribusi pada rata-rata hukuman penjara terhadap penahanan Afrika-Amerika dan Hispanik di AS yang 20% ​​lebih lama daripada rekan-rekan Kaukasia mereka (kredit untuk contoh-contoh ini pergi ke buku brilian, namun mengejutkan Cathy O'Neill: "Senjata Matematika Penghancuran").

ad.jpg

Tanpa bermaksud terdengar seperti regionalis, dalam hal undang-undang privasi data, Eropa jauh lebih baik daripada AS (meskipun Belanda berusaha untuk menodai reputasi itu dengan memperkenalkan “hukum jaring” di dalam Undang-undang Intelijen dan Keamanan baru, pemberian mereka kekuatan pengawasan NSA-like). Salah satu langkah besar terbaru menuju peningkatan privasi data di Uni Eropa adalah pengenalan Peraturan Perlindungan Data Umum (atau GDPR) pada 25 Mei tahun ini, dengan hak atas data “Hak untuk Dilupakan” dan “Privasi berdasarkan Desain” menjadi dua perubahan yang paling berdampak pada arahan sebelumnya.

Saya ingin menyentuh ini dalam konteks Teknologi Buku Besar Terdistribusi (apa yang anak-anak keren sebut "Blockchain"), Jaringan Sovin, dan manajemen identitas.

Peraturan Perlindungan Data Umum (GDPR)

Peraturan yang akan datang ini telah mengguncang banyak bisnis, LSM, dan bahkan negara ke inti mereka sekarang yang tiba-tiba mereka menemukan diri mereka menghadapi denda besar pada hasil pasca-Mei, 2018. Yah, mungkin tidak "tiba-tiba", karena kata tentang GDPR telah keluar untuk sementara waktu sekarang, setelah memberikan semua pihak untuk mendapatkan banyak waktu untuk mendapatkan operasi mereka dalam rangka mengantisipasi peraturan yang berlaku sepenuhnya. Namun, sebagian besar saham masih mengejar ketinggalan dengan mencoba mencari tahu bagaimana menjadi patuh.

Intinya, GDPR (Peraturan (UE) 2016/679), menetapkan satu set aturan tunggal di seluruh Eropa untuk memungkinkan individu untuk lebih mengontrol data pribadi mereka, dan karenanya akan menyebabkan pencabutan Directive 95/46 / EC ketika akhirnya diberlakukan pada 25 Mei 2018.

Yang paling menarik bagi kami sebagai perusahaan yang memfokuskan pada manajemen identitas digital adalah revisi terhadap persyaratan "menerapkan tindakan teknis dan organisasi yang tepat" mengenai tindakan keamanan "sesuai dengan risiko", seperti:

  • Pseudonymisation dan / atau enkripsi data pribadi;
  • Kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan berkelanjutan dari sistem dan layanan yang memproses data pribadi, dan:
  • Kemampuan untuk memulihkan ketersediaan dan akses ke data secara tepat waktu jika terjadi insiden fisik atau teknis.

Dia Sovrin Approach
Karena Tykn adalah Pendiri Pendiri Sovrin, kami merasa penting untuk berkontribusi pada pendidikan regulator, pengambil keputusan dan masyarakat umum tentang manfaat menggunakan Teknologi Buku Besar Terdistribusi dan khususnya Sovrin Network untuk manajemen identitas.

Sebagaimana disyaratkan oleh semangat dan surat hukum di bawah GDPR, Sovrin dibangun dengan "privasi secara default" dan "privasi berdasarkan desain" pada intinya. Dalam posting saya sebelumnya saya secara singkat menyinggung hal ini, dalam pendekatan Sovrin untuk buku besar didistribusikan seperti piatu dari konvensional. Dengan demikian, Sovrin mungkin benar-benar terbukti lebih efektif, efisien, dan di atas segalanya: kepatuhan privasi; yaitu karena, melalui penggunaan Jaringan Sovin, data pribadi tidak akan pernah harus disimpan di buku besar, bahkan tidak dalam bentuk terenkripsi. Ini dilakukan karena:

(1) Buku besar didistribusikan masih merupakan database yang paling tidak efisien untuk penyimpanan data di sekitar.

// Keuntungan utama menggunakan Blockchain / DLT atas database terpusat adalah untuk membebaskan isu “kepercayaan” dan “ketangguhan”; jika aplikasi Anda tidak memerlukan keduanya, maka basis data terpusat masih merupakan pilihan yang lebih baik. Alasan utama untuk ini adalah bahwa database terpusat mungkin akan selalu lebih cepat daripada blockchains, karena blockchains membawa beban tambahan verifikasi tanda tangan, mekanisme konsensus dan redundansi, yang sangat memperlambat proses dalam network.//

(2) Sebagaimana ditetapkan oleh Pasal 29 Partai Kerja Perlindungan Data, data pribadi yang diacak / dienkripsi masih dianggap sebagai data pribadi, karena dapat selalu dipaksa secara kasar (jika tidak sekarang, mungkin di beberapa titik di masa depan), dan:

(3) Dengan cara ini, privasi dapat dijamin melalui prinsip-prinsip non-korelasi melalui pseudonymisation. Jadi, alih-alih menyimpan informasi pribadi yang sebenarnya, satu-satunya hal yang disimpan di buku besar (untuk tujuan verifikasi) adalah:

  • Decentralized Identifiers (DIDs) dan DID Descriptor Objects (DDOs) terkait dengan kunci verifikasi dan titik akhir;
    Skema.
  • Definisi kredensial;
  • Pencatatan pencabutan, dan
  • Bukti persetujuan untuk berbagi data.

Sekarang, tanpa bekerja di ruang identitas, kata-kata ini mungkin sangat berarti bagi Anda. Jadi berikut adalah uraian singkat, sambil menunjukkan bagaimana tidak ada informasi pribadi yang pernah disimpan di buku besar:

DID adalah jenis pengenal baru untuk memverifikasi identitas digital, dan sepenuhnya dikendalikan oleh pemilik identitas, terlepas dari registri, otoritas atau penyedia identitas terpusat. Sejalan dengan konsep "Privasi berdasarkan Desain", pemilik identitas dapat memilih untuk mengeluarkan sebanyak DID yang dianggap perlu untuk mendapatkan tingkat pemisahan yang cukup antara identitas, konteks atau persona.
DID memutuskan untuk DDO, dokumen JSON ringan yang berisi metadata yang membuktikan kepemilikan dan kontrol dari DID.

Skema pada dasarnya adalah deskripsi formal untuk struktur database. Misalnya, skema permintaan bukti sederhana untuk LSM seperti Palang Merah Belanda dapat terlihat seperti ini:

{
"proof-requests": [{
"name": "Beneficiary-Registry",
"version": "0.2",
"attributes": {
"first_name": "string",
"last_name": "string",
"date_of_birth": "string",
"phone_number": "string",
"address": "string",
"household_representative": "boolean",
"house_owner": "boolean"
},
"verifiableAttributes": ["address", "house_owner"]
}]
}

  • Secara umum, kami menyebut "kredensial" sebagai bukti identitas atau kualifikasi yang berbeda (sering nyata) yang dikeluarkan oleh otoritas; seperti surat izin mengemudi, paspor, kartu identitas, kartu kredit, dll. Oleh karena itu, definisi kredensial - seperti namanya - hanya definisi dari kredensial yang berbeda ini untuk disimpan di buku besar.

  • Dalam hal klaim yang salah diterbitkan, atau jika hak istimewa yang terkait dengan klaim hilang, harus ada opsi bagi emiten untuk dapat mencabut klaim tersebut. Pencabutan registrasi inilah yang memberi tahu seluruh dunia bagaimana penerbit akan mempublikasikan informasi pencabutan.

  • Untuk membuktikan persetujuan atau penerimaan data (pada dasarnya mengatakan data telah diterima dan cek telah dieksekusi di atasnya), penerimaan persetujuan ini (yaitu bukti persetujuan) membiarkan orang-orang melakukannya.

Seperti yang bisa diharapkan, Anda mulai melihat: tidak ada kebutuhan yang melekat untuk menyimpan informasi pribadi di buku besar (lawan menyimpannya secara lokal); dengan tidak melakukan hal itu benar-benar membuat jaringan lebih efisien dan sesuai privasi, karena mengambil data pribadi dari buku besar akan memperlambat keseluruhan sistem dan menciptakan risiko privasi dan kepatuhan (dalam hal peningkatan risiko untuk korelasi dan pencurian, serta brute-forcing dari bentuk enkripsi yang dipercaya saat ini, di masa depan).

ffg.jpg

Dengan tidak memperbolehkan pengguna untuk melepaskan data pribadi ke buku besar / basis data eksternal dengan desain, Sovrin juga memungkinkan penggunaan hak akses data subyek yang lebih efektif dan efisien, sambil mempromosikan prinsip-prinsip dasar perlindungan data dengan memperkuat pembatasan tujuan dan mempromosikan minimisasi data dan akurasi, akhirnya memberikan dasar hukum untuk diproses dalam bentuk persetujuan subjek data.

Aspek penting lain dari Sovrin adalah bahwa, meskipun diizinkan, jaringan masih dibangun di buku besar umum (Hyperledger Indy). Jadi, sementara tidak mengizinkan korelasi dari titik data pribadi, itu masih menyediakan catatan yang dapat diaudit tentang hak, permintaan, dan kegiatan pemrosesan data terkait, yang mempromosikan prinsip-prinsip transparansi GDPR.

by : @muhammadrizki96

#humanitarian #blockchain #steemxp #promo-steem
6 years ago in #cryptocurrency by
$0.00
    31 votes
    Reply 1

    Coin Marketplace

    STEEM 0.21
    TRX 0.14
    JST 0.030
    BTC 69672.37
    ETH 3356.16
    USDT 1.00
    SBD 2.74