La nueva legislación estadounidense sobre identidad digital promete una verificación más segura

Michael Magrath, 2 de Octubre de 2020
New US Digital Identity Legislation Promises More Secure Verification

La pandemia de COVID-19 nos ha obligado a distanciarnos socialmente y hacer todo lo que podamos de forma digital y remota. Para los profesionales de TI, la pandemia probablemente trajo muchos dolores de cabeza no planificados y largas horas para garantizar que sus organizaciones pudieran permanecer operativas de manera segura mientras brindaban soporte a una fuerza laboral remota de casi el 100%.

La pandemia también ha revelado agujeros relacionados con la identidad digital, la protección de datos y la ciberseguridad que exponen a las personas, las empresas y las agencias gubernamentales al fraude en línea. Aunque se encuentran disponibles numerosas tecnologías nuevas y soluciones comerciales, su valor se limita a una sola organización o dentro de un marco de confianza, y hay una falta de interoperabilidad en beneficio de los usuarios y las organizaciones por igual.

Recientemente, las violaciones de datos a gran escala han dado lugar a terabytes de información de identificación personal (PII) puesto a la venta en el web oscura . La disponibilidad generalizada de información personal ha acercado a la obsolescencia las soluciones de verificación basada en el conocimiento (KBV), antes métodos confiables para verificar identidades en línea. Sin la capacidad de confiar en los datos personales en una solución KBV, las organizaciones necesitarán un nuevo método para verificar las identidades digitales que aún cree una experiencia de usuario positiva.

Agencias de desempleo seleccionadas durante COVID-19

Con millones de estadounidenses solicitando beneficios por desempleo, los estafadores se han abalanzado sobre las agencias gubernamentales estatales responsables de la asistencia por desempleo. A 14 de mayo de 2020, memorándum El Servicio Secreto de Estados Unidos informa que Washington, Carolina del Norte, Massachusetts, Rhode Island, Oklahoma, Wyoming y Florida fueron víctimas de una red de fraude con sede en Nigeria. El Servicio Secreto afirma: "Se supone que el círculo de fraude detrás de esto posee una base de datos de PII sustancial para enviar el volumen de solicitudes observadas hasta ahora".

Canadá está abordando este problema de seguridad cibernética. Su Consejo de Autenticación e Identidad Digital de Canadá (DIACC) continúa desarrollando su Marco de Confianza Pancanadiense (PCTF). Como el Notas DIACC, “La PCTF apoya el establecimiento de un ecosistema de identidad digital canadiense innovador, seguro y que respete la privacidad”.

Por el contrario, Estados Unidos carece de una estrategia integral de identificación digital. La administración Obama desarrolló uno con la Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC), pero nunca obtuvo la adopción nacional de los proveedores de servicios.

Ley de mejora de la identidad digital de 2020: un enfoque para todo el gobierno

Eso puede estar cambiando ya que el congresista Bill Foster (D-IL) ha presentado recientemente el bipartidista Ley de mejora de la identidad digital de 2020 . Si se promulga, el proyecto de ley "establecería un enfoque de todo el gobierno para mejorar la identidad digital".

El proyecto de ley aprovecha el informe de 2018 de The Better Identity Coalition, Mejor identidad en Estados Unidos: un plan para los legisladores , que, entre otras cosas, recomienda que las agencias gubernamentales estén mejor posicionadas tanto a nivel estatal a través de los Departamentos de Vehículos Motorizados como a nivel federal a través de la Administración del Seguro Social (SSA) para ofrecer nuevos servicios de identidad a los consumidores.

La SSA ya está progresando en esta área y pronto lanzará su verificación electrónica de número de seguro social basada en consentimiento ( eCBSV ) Servicio.Como se indica en su sitio web, “eCBSV permitirá que las entidades autorizadas verifiquen si la combinación de SSN, nombre y fecha de nacimiento de una persona coincide con los registros del Seguro Social. El Seguro Social necesita el consentimiento por escrito del titular del número con una firma electrónica o húmeda para poder divulgar la verificación del SSN ".

los Ley de mejora de la identidad digital crearía un grupo de trabajo para mejorar la identidad digital dentro de la oficina ejecutiva del presidente. Su misión es establecer un esfuerzo de todo el gobierno para desarrollar métodos seguros para que las agencias gubernamentales federales, estatales y locales validen los atributos de identidad y respalden la verificación de identidad digital interoperable tanto en el sector público como en el privado. El grupo de trabajo estaría compuesto por secretarios del gabinete, jefes de otras agencias federales, funcionarios del gobierno estatal y local, miembros designados por el comité del Congreso y un puesto designado por el presidente.

Además, el Instituto Nacional de Estándares y Tecnología (NIST) desarrollaría un marco de estándares para la verificación de identidad digital para guiar a los gobiernos federal, estatal y local en la selección de sus soluciones de identidad digital. NIST tendría un año para publicar una versión final del marco.

La legislación requiere que el grupo de trabajo publique un informe con recomendaciones sobre investigación y desarrollo en sistemas que permitan la verificación de identidad digital. Una vez finalizado y con el consentimiento de la persona, el marco permitirá a las agencias gubernamentales responder de forma segura por sus ciudadanos en tiempo real cuando estén en línea.

Por ejemplo, es habitual que una persona que solicita abrir una cuenta bancaria en línea o desde su dispositivo móvil proporcione un escaneo de una identificación emitida por el gobierno, generalmente una licencia de conducir, y una foto de selfie para afirmar su identidad. Detrás de escena, la imagen de la licencia de conducir se verifica para garantizar que las microimpresiones, los hologramas y otras características de seguridad física sean consistentes. Utilizando datos biométricos como la tecnología de reconocimiento facial, la foto del selfie se compara con la foto de la tarjeta de identificación para garantizar que coincidan.

Mejoras de proceso para verificar identidades digitales y sistemas de identidad

El proceso actual es bueno, pero se puede mejorar con un servicio gubernamental. Las organizaciones de servicios financieros obtendrán un servicio público que les permitirá, con el consentimiento del cliente, hacer ping a una base de datos estatal del DMV o de la SSA. Luego recibirán una respuesta clara si los datos de identidad presentados están contenidos en su base de datos respectiva. Esta mejora en el proceso de administración de identidad proporcionará una capa adicional de seguridad en tiempo real para confirmar que la persona es quien dice ser.

los Ley de mejora de la identidad digital es una legislación interesante. Si se convierte en ley, mejorará significativamente nuestra vida digital y beneficiará a los consumidores y a las partes que confían por igual en los próximos años con el apoyo para la verificación segura de la identidad digital.

Beyond Business Continuity
White Paper

Beyond Business Continuity

In this paper, we explore the top financial processes to digitize with e-signatures and digital identity verification technology – as well as key security considerations to support the rise of the digital-first financial services provider.

Download Now

Divulgación: el autor representa a su empleador, OneSpan, Inc., en The Better Identity Coalition y el Consejo de Autenticación e Identidad Digital de Canadá (DIACC).

Este artículo, escrito por Michael Magrath, Director de Regulaciones y Estándares Globales, apareció por primera vez el 17 de septiembre de 2020 en CSO en línea . Reimpreso con permiso. © IDG Communications, Inc., 2020. Todos los derechos reservados.

Michael Magrath es responsable de alinear la hoja de ruta de soluciones de OneSpan con los estándares y los requisitos reglamentarios a nivel mundial. Es Presidente del Grupo de Trabajo de Implementación del Gobierno de la Alianza FIDO y está en la Junta de Directores de la Asociación de Firmas y