Satisfazendo as exigências de conformidade à GDPR com FIDO
O GDPR está em vigor há seis meses e, como cidadão da UE, observei os requisitos de conformidade do GDPR em ação. Fui bombardeada com e-mails e formulários de consentimento solicitando permissão para compartilhar meus dados pessoais, de tudo, desde as empresas on-line de que solicito até as escolas de meus filhos.
Através de um quadro legislativo da UE, o RGPD tem consequências de longo alcance em todo o mundo. Toda organização que opera, armazena ou processa os dados de cidadãos da UE está sujeita aos requisitos do RGPD. Isso não significa que todas as organizações impactadas estão prontas e compatíveis. Aqueles que não têm medo das multas e penalidades associadas ao não cumprimento, chegam a postar mensagens on-line, como: Observamos que você está visitando este site de fora dos EUA e, portanto, não pode exibir essas informações .
Até o momento, nenhuma multa foi emitida porque as diferentes autoridades de proteção de dados estão adotando uma postura mais branda e dando às empresas tempo para se adaptarem às novas regras. No entanto, os primeiros casos de penalidade são esperados em breve. O que suscita a pergunta: como você implementa as soluções apropriadas para garantir que você atendeu Requisitos de conformidade com GDPR ? E como você evitará passar a carga de conformidade para seus clientes?
A resposta é simples: FIDO. A FIDO cumpre os requisitos de conformidade do GDPR por design. É uma estrutura de autenticação baseada em padrões examinada por inúmeros especialistas do setor. O esforço da FIDO para tornar a autenticação mais forte e mais simples (com ênfase na privacidade) também garante que a experiência do usuário esteja livre de atritos desnecessários.
Para explicar porque Autenticação FIDO é uma boa combinação para alcançar a conformidade com o GDPR, vamos examinar mais de perto alguns dos principais requisitos: proteção de dados, consentimento de captura e autenticação biométrica.
Requisitos de conformidade com GDPR para proteção de dados
Existem vários artigos na legislação do GDPR referentes à segurança de dados, cada um tratando aspectos diferentes, como minimização de dados, integridade, confidencialidade e notificação de violação de dados. Todos esses princípios formam o núcleo do que podemos descrever como proteção de dados. O que se resume é que as empresas são obrigadas a implementar salvaguardas de proteção de dados. A maneira mais fácil de conseguir isso é implementando fortes autenticação multifator (MFA).
Uma combinação simples de nome de usuário e senha não é mais suficiente, pois as senhas podem ser facilmente roubadas ou exploradas. A Agência da União Européia para Segurança de Redes e Informações (ENISA), que assessora os Estados membros e organizações do setor privado na implementação da legislação da UE, recomenda enfaticamente o uso de autenticação de dois fatores (2FA) para proteger dados pessoais. Um exemplo de um segundo fator seria um senha descartável (OTP) gerado por um token de hardware ou por meio da autenticação de software em um dispositivo móvel. A autenticação de dois fatores fornece uma camada secundária de segurança que dificulta o acesso dos hackers aos dispositivos e contas online de um usuário.
Algumas formas de AMF são mais seguras que outras. A autenticação por SMS é considerada uma forma mais fraca de autenticação, pois o OTP pode ser interceptado. Como resultado, o Instituto Nacional de Padrões e Tecnologia listou Autenticação SMS como "restrita" nas últimas diretrizes. Para aprimorar verdadeiramente a segurança das contas, a FIDO fornece autenticação forte e baseada em padrões, utilizando a Public Key Cryptography (PKI), na qual um par de chaves pública e privada é gerado para cada conta ou serviço no qual o cliente faz logon.
AUTENTICAÇÃO FIDO
Soluções baseadas no padrão FIDO para autenticação mais simples e forte usando uma abordagem aberta, escalável e interoperável
Saiba MaisDados pessoais
Sob o GDPR, as organizações devem obter o consentimento para os dados pessoais que coletam e precisam ser capazes de provar que receberam esse consentimento. Além disso, qualquer indivíduo tem o direito de retificar seus dados pessoais, bem como o direito de ser removido do banco de dados de uma organização. A transparência é um componente essencial. Com relação aos direitos individuais e consentimento de dados, novamente Autenticação FIDO fornece uma resposta. Para que os indivíduos façam solicitações sobre seus dados pessoais, é necessário que uma empresa verifique a identidade da pessoa que fez a solicitação para garantir que a solicitação seja autêntica.
Além disso, qualquer organização que avalie mecanismos de consentimento para cumprir com o RGPD deve olhar assinaturas eletrônicas , especialmente ao lidar com dados de alto risco, como informações financeiras pessoais. As assinaturas eletrônicas fornecem uma maneira auditável e fácil de usar para capturar o consentimento, cumprir o requisito de inscrição ativa e demonstrar os detalhes de como o consentimento foi obtido, incluindo o que foi consentido, quando e por quem. o OneSpan Sign O serviço de assinatura eletrônica, por exemplo, se integra e pode se conectar a sistemas de autenticação como Autenticadores certificados pela FIDO do OneSpan.
Biometria
A autenticação biométrica está ganhando terreno rapidamente. Por um lado, é muito conveniente fazer logon em qualquer serviço usando uma impressão digital ou digitalização de rosto. Segundo, é fácil aproveitar os dispositivos do cotidiano para Touch ID e Face ID , por exemplo. O GDPR considera os dados biométricos como informações confidenciais, e as organizações devem proteger e gerenciar adequadamente esses dados.
O FIDO é muito focado na biometria, pois representa perfeitamente a noção de autenticação simplificada e conveniente. O protocolo FIDO é configurado de tal maneira que não há segredos do lado do servidor; portanto, os dados biométricos nunca são armazenados em um banco de dados. A biometria é armazenada localmente e nunca sai do dispositivo. Ao implementar o FIDO, as empresas evitam coletar, processar e gerenciar os dados por conta própria.
Conveniência do usuário
Até agora, nos concentramos em questões legislativas, mas e a experiência do usuário? A experiência do cliente é um claro diferencial competitivo e tem um forte impacto na lealdade do cliente.
O FIDO foi criado com o usuário em mente, eliminando ao mesmo tempo o elo mais fraco da cadeia de segurança: os próprios usuários. A autenticação sem senha facilita a autenticação, seja através da biometria em dispositivos móveis ou em um hardware FIDO2 símbolo. O FIDO melhora e simplifica a experiência do cliente, minimizando os inconvenientes e maximizando a segurança.
Visite nossa Autenticação FIDO página para saber mais sobre o FIDO para login sem senha e como usar o FIDO para atender aos requisitos de conformidade do GDPR.
