FIDOでGDPRコンプライアンス要件を満たす
GDPRは現在6か月間有効であり、EU市民として、GDPRコンプライアンス要件が機能していることに気付きました。私は、注文したオンライン企業から子供たちの学校に至るまで、私の個人情報を共有する許可を求めるメールと同意フォームを送りつけられてきました。
EUの法的枠組みを通じて、GDPRは世界中に広範な影響を及ぼします。EU市民のデータを運用、保存、または処理するすべての組織は、GDPR要件の対象となります。これは、影響を受けるすべての組織が準備ができており、準拠しているという意味ではありません。次のようなオンラインメッセージを投稿するまで、コンプライアンス違反に関連する高額の罰金や罰則に恐れを抱いていない人。米国以外からこのウェブサイトにアクセスしているようです。したがって、この情報を表示できません 。
これまでのところ、さまざまなデータ保護機関がより緩やかな姿勢を採用しており、企業に新しいルールに適応する時間を与えているため、罰金は課されていません。ただし、最初のペナルティケースはまもなく発生する予定です。どちらが問題を引き起こすか、あなたが会ったことを確認するために適切なソリューションをどのように実装しますか GDPRコンプライアンス要件 ?また、コンプライアンスの負担を顧客に回さないようにするにはどうすればよいでしょうか。
答えは簡単です:FIDO。FIDOは、設計によりGDPRコンプライアンス要件を満たしています。これは、無数の業界専門家によって吟味された標準ベースの認証フレームワークです。FIDOは、認証をより強力でシンプルにする(プライバシーを重視して)ための取り組みにより、ユーザーエクスペリエンスに不必要な摩擦が生じないようにします。
理由を説明する FIDO認証はGDPRコンプライアンスを達成するのに適したものです。データ保護、同意の取得、生体認証などの主要な要件のいくつかを詳しく見てみましょう。
データ保護のためのGDPRコンプライアンス要件
GDPRの法律には、データのセキュリティに関するいくつかの記事があり、それぞれがデータの最小化、整合性、機密性、データ侵害の通知などのさまざまな側面を扱っています。これらの原則はすべて、データ保護と呼ぶことができるものの中核を形成します。つまり、企業はデータ保護対策を実装する必要があるということです。これを達成する最も簡単な方法は、強力な多要素認証 (MFA)。
パスワードは簡単に盗まれたり悪用されたりする可能性があるため、ユーザー名とパスワードの単純な組み合わせでは不十分です。EU法の実施について加盟国および民間組織に助言する、EUのネットワーク情報セキュリティ庁(ENISA)は、二要素認証 (2FA)個人データを保護します。2番目の要素の例は、ワンタイムパスワード (OTP)ハードウェアトークンによって、またはモバイルデバイスのソフトウェア認証によって生成されます。2要素認証は、ハッカーがユーザーのデバイスやオンラインアカウントにアクセスすることをより困難にするセキュリティの2次レイヤーを提供します。
一部の形式のMFAは、他の形式よりも安全です。OTPが傍受される可能性があるため、SMS認証はより弱い認証形式と見なされます。その結果、国立標準技術研究所は 「制限付き」としてのSMS認証最新のガイドラインで。アカウントのセキュリティを真に強化するために、FIDOは、顧客がログオンするすべてのアカウントまたはサービスに対して秘密鍵と公開鍵のペアが生成される公開鍵暗号(PKI)を利用した、強力な標準ベースの認証を提供します。
個人データ
GDPRの下では、組織は収集した個人データの同意を取得する必要があり、その同意を受け取ったことを証明できる必要があります。さらに、個人には、個人情報を修正する権利と、組織のデータベースから削除される権利があります。透明性は重要な要素です。個人の権利とデータの同意に関して、再び FIDO認証答えを提供します。個人が個人データについて要求を行うには、企業がその要求を行う個人の身元を検証して、要求が本物であることを確認する必要があります。
さらに、評価している組織 GDPRに準拠するための同意メカニズム見るべき電子署名 、特に個人の財務情報などのリスクの高いデータを処理する場合。電子署名は、監査可能な使いやすい方法で同意を取得し、アクティブなオプトイン要件に準拠し、同意の内容、いつ、誰が同意したかなどの詳細を示します。の OneSpanサインたとえば、電子署名サービスは、次のような認証システムと統合して接続できます。 FIDO認定オーセンティケーター OneSpanから。
生体認証
生体認証は急速に普及しています。まず、指紋や顔のスキャンを使用して任意のサービスにログオンすることは非常に便利です。第二に、日常のデバイスを活用するのは簡単です Touch IDとFace ID 、例えば。GDPRは生体認証データを機密情報と見なしており、組織はこのデータを適切に保護および管理する必要があります。
FIDOはバイオメトリクスに非常に重点を置いています。シンプルで便利な認証の概念を完全に表現しているからです。FIDOプロトコルは、サーバー側の秘密が存在しないように設定されています。したがって、生体認証データがデータベースに保存されることはありません。生体認証はローカルに保存され、デバイスから離れることはありません。FIDOを実装することにより、ビジネスはデータ自体の収集、処理、および管理を回避できます。
ユーザーの利便性
これまでは立法問題に焦点を当ててきましたが、ユーザーエクスペリエンスについてはどうですか?カスタマーエクスペリエンスは明確な競争上の差別化要因であり、カスタマーロイヤルティに大きな影響を与えます。
FIDOはユーザーを念頭に置いて作成され、同時にセキュリティチェーンの最も弱いリンクであるユーザー自身を排除しました。パスワードなしの認証により、モバイルデバイスまたはハードウェアのバイオメトリクスを介して認証が簡単になります FIDO2 トークン。FIDOは、セキュリティを最大化しながら不便さを最小化することにより、カスタマーエクスペリエンスを改善および簡素化します。
私たちをご覧ください FIDO認証パスワードなしのログインのためのFIDOの詳細、およびGDPRコンプライアンス要件を満たすためのFIDOの使用については、ページをご覧ください。
