Passkeys, opracowane w oparciu o standardy FIDO Alliance FIDO2 i U2F, są kluczami kryptograficznymi zaprojektowanymi w celu zastąpienia tradycyjnych haseł, zapewniając zwiększone bezpieczeństwo bez luk w zabezpieczeniach uwierzytelniania opartego na hasłach. W tym artykule zbadano, w jaki sposób passkeys są zgodne z głównymi globalnymi regulacjami – GDPR, HIPAA, CCPA i PSD2 – oraz w jaki sposób wspierają organizacje w osiąganiu zgodności z wymogami ochrony danych i prywatności.
Czym są passkeys?
Passkeys opierają się na kryptografii klucza publicznego, wykorzystując sparowane klucze – jeden publiczny i jeden prywatny – do uwierzytelniania użytkowników bez polegania na hasłach. Podejście to oferuje znaczną poprawę w stosunku do tradycyjnego uwierzytelniania wieloskładnikowego (MFA), eliminując potrzebę współdzielenia tajemnic, takich jak hasła, które mogą zostać wyłudzone, skradzione lub ponownie wykorzystane. Passkeys mogą w pełni zastąpić lub ulepszyć istniejące systemy MFA, zapewniając większe bezpieczeństwo bez dodatkowych kroków ze strony użytkownika. Ponieważ są one powiązane z urządzeniem użytkownika, passkeys są z natury odporne na phishing i chronią przed szeregiem typowych cyberataków, co czyni je transformacyjnym rozwiązaniem do bezpiecznego, zgodnego z przepisami uwierzytelniania tożsamości.
Passkeys i zgodność z dyrektywą PSD2
1. Zrozumienie PSD2
Zmieniona dyrektywa w sprawie usług płatniczych (PSD2) to rozporządzenie UE, które zwiększa bezpieczeństwo płatności elektronicznych i ochronę danych. PSD2 nakazuje silne uwierzytelnianie klienta (SCA) dla bezpiecznych transakcji online, które muszą obejmować niezależne czynniki uwierzytelniania i dynamiczne łączenie dla każdej transakcji.
2. Kluczowe artykuły PSD2 dotyczące uwierzytelniania
Dyrektywa PSD2 nakłada określone wymogi dotyczące silnego uwierzytelniania:
- Artykuł 97: Wymaga silnego uwierzytelniania klienta (SCA) przy użyciu co najmniej dwóch niezależnych czynników.
- Dynamiczne łączenie: Każda transakcja musi być uwierzytelniona unikalnym kodem, który łączy się z kwotą transakcji i odbiorcą.
3. Jak passkeys spełniają wymagania PSD2
Passkeys są zgodne z wymogami PSD2 w zakresie SCA i bezpieczeństwa:
- Uwierzytelnianie wieloskładnikowe: Passkeys spełniają wymagania SCA poprzez czynniki posiadania związane z urządzeniem oraz lokalne uwierzytelnianie biometryczne lub PIN.
- Dynamiczne łączenie: Passkeys generuje podpisy specyficzne dla transakcji, wspierając dynamiczne łączenie PSD2.
Potencjalne obawy związane ze zgodnością z PSD2 dla passkeys i ich rozwiązania
Zależność od urządzenia
Passkeys powiązane z urządzeniami użytkowników mogą wymagać ponownej rejestracji w przypadku utraty lub wymiany urządzenia. Organizacje powinny wdrożyć bezpieczne mechanizmy odzyskiwania kluczy dostępu, które są zgodne ze standardami silnego uwierzytelniania klienta (SCA) w ramach PSD2. Chociaż jest to standardowa najlepsza praktyka zarządzania kluczami dostępu, pomaga ona zminimalizować ryzyko i zapewnia zgodność z przepisami.
Wyzwania związane z dynamicznym łączeniem
Dynamiczne łączenie, podstawowy wymóg PSD2, stanowi poważne wyzwanie – nie ze względu na ograniczenia FIDO2, ale raczej możliwości uwierzytelniaczy. WebAuthn obsługuje pola do osadzania danych specyficznych dla transakcji, umożliwiając bezpośrednie połączenie między uwierzytelnianiem a transakcją. Takie podejście w pełni spełnia wymóg PSD2 dotyczący dynamicznego łączenia, zapewniając, że proces uwierzytelniania jest powiązany z konkretną transakcją.
Wyzwanie polega jednak na świadomości płatnika – wiele urządzeń uwierzytelniających nie ma obecnie możliwości wyświetlania kontekstu transakcji. Bez tego użytkownicy nie mogą zobaczyć ani potwierdzić tego, co autoryzują, nie spełniając drugiego warunku dynamicznego łączenia. Rozwiązanie tej luki wymaga opracowania mechanizmów uwierzytelniających zdolnych do prezentowania użytkownikom szczegółów transakcji w bezpieczny sposób.
Bezpieczne potwierdzenie płatności (SPC)
SPC opiera się na mechanizmach znanych z protokołów 3D Secure, jednocześnie włączając najlepsze praktyki w zakresie korzystania z klucza dostępu. Zwiększa bezpieczeństwo i zgodność dynamicznego łączenia, zapewniając zarówno aspekty techniczne, jak i świadomość użytkownika. Organizacje wdrażające SPC mogą łatwiej spełnić wymagania PSD2 dla scenariuszy płatności wielodomenowych.
Testowanie ciągłe
Podczas gdy PSD2 podkreśla znaczenie bezpiecznego uwierzytelniania, skupienie się na regularnym monitorowaniu i testowaniu systemów jest raczej ogólną najlepszą praktyką niż bezpośrednim wyzwaniem regulacyjnym. Zajęcie się dynamicznym łączeniem i świadomością płatnika jest bardziej bezpośrednio zgodne z podstawowymi wymogami PSD2 i zapewnia silniejsze podstawy zgodności.
Passkeys i zgodność z RODO
1. Zrozumienie RODO
Ogólne rozporządzenie o ochronie danych (RODO) to kompleksowe rozporządzenie UE koncentrujące się na ochronie danych osobowych i prywatności obywateli UE. RODO ma zastosowanie do każdej organizacji, która przetwarza dane osobowe mieszkańców UE, niezależnie od lokalizacji organizacji. RODO narzuca rygorystyczne standardy w zakresie przetwarzania danych, prywatności i bezpieczeństwa, a nieprzestrzeganie przepisów może skutkować znacznymi grzywnami. Prawo to jest szczególnie istotne dla organizacji, które obsługują uwierzytelnianie użytkowników, ponieważ wymaga bezpiecznych i przejrzystych procesów ochrony danych osobowych.
2. Kluczowe artykuły RODO na temat silnego uwierzytelniania
RODO zawiera konkretne artykuły, które podkreślają potrzebę stosowania silnych środków bezpieczeństwa i solidnej kontroli dostępu:
- Artykuł 32: Wymaga od administratorów danych i podmiotów przetwarzających wdrożenia „odpowiednich środków technicznych i organizacyjnych” w celu zabezpieczenia danych osobowych, podkreślając „pseudonimizację i szyfrowanie danych osobowych” oraz potrzebę procesów „regularnego testowania, oceny i oceny skuteczności środków bezpieczeństwa”.
- Motyw 51: Wspomina o znaczeniu „odpowiednich zabezpieczeń” w zapewnianiu ochrony danych, wspierając stosowanie bezpiecznych metod uwierzytelniania w celu ochrony danych osobowych przed nieautoryzowanym dostępem.
3. Jak passkeys spełniają wymagania RODO
Passkeys spełnia te standardy RODO na kilka kluczowych sposobów:
- Szyfrowanie i odporność na phishing: Passkeys wykorzystują kryptografię klucza publicznego, która jest zgodna z naciskiem na szyfrowanie w art. 32 RODO. Technologia ta zapobiega atakom phishingowym i naruszeniom danych związanych z hasłami.
- Minimalizacja danych: Eliminując potrzebę przechowywania haseł, passkeys zmniejszają ilość wrażliwych danych, które organizacje muszą przechowywać i zarządzać nimi, spełniając wymóg minimalizacji danych RODO.
- Regularne testowanie i ocena: Organizacje mogą przeprowadzać regularne testy wdrożeń passkey, aby zapewnić ciągłe bezpieczeństwo i zgodność, wspierając wymagania RODO dotyczące ciągłej oceny bezpieczeństwa.
4. Potencjalne obawy dotyczące zgodności z RODO dla passkeys i ich rozwiązań
Zależność od urządzenia
Passkeys są powiązane z urządzeniem, co może wymagać ponownej rejestracji, jeśli użytkownik zgubi lub wymieni swoje urządzenie. Proces ten może obejmować ograniczone przetwarzanie danych osobowych, które musi być zgodne z zasadami RODO, takimi jak minimalizacja danych i ograniczenie celu. Organizacje powinny wdrożyć bezpieczne procedury ponownej rejestracji, aby rozwiązać tę kwestię. Wykorzystanie passkeys do wielu urządzeń zgodnych z FIDO2 zmniejsza potrzebę dodatkowego przetwarzania danych osobowych, ponieważ klucze te obsługują bezpieczny transfer między urządzeniami, minimalizując jednocześnie ryzyko związane z przestrzeganiem przepisów.
Dane biometryczne
Niektóre passkeys wykorzystują dane biometryczne, takie jak rozpoznawanie twarzy lub odciski palców, do lokalnego odblokowywania urządzenia. Dane biometryczne, jako specjalna kategoria zgodnie z RODO, muszą pozostać ograniczone do urządzenia lokalnego i nigdy nie mogą być przesyłane na zewnątrz. Jest to zgodne z zasadami FIDO2 i WebAuthn, w których sekrety używane do odblokowywania kluczy prywatnych pozostają w urządzeniu uwierzytelniającym i nie są dostępne poza nim. Przejrzystość jest niezbędna – organizacje muszą zapewnić użytkownikom jasne informacje na temat celu biometrii w uwierzytelnianiu i potwierdzić, że żadne wrażliwe informacje biometryczne nie opuszczają ich urządzenia.
Przenoszenie danych
RODO przyznaje użytkownikom prawo do przenoszenia danych, co może stanowić wyzwanie, jeśli passkeys są używane na platformach bez obsługi FIDO2. Przyjęcie standardów FIDO2 zapewnia kompatybilność międzyplatformową i spełnia wymagania dotyczące przenoszenia danych, umożliwiając bezpieczną funkcjonalność wielu urządzeń bez konieczności pozostawienia danych poza kontrolą użytkownika. Podejście to wspiera mandaty RODO dotyczące przenoszenia danych przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa.
Passkeys stanowią potężne rozwiązanie dla organizacji poruszających się po złożonych wymaganiach regulacyjnych, takich jak PSD2, RODO, HIPAA i CCPA. Zwiększając bezpieczeństwo, wspierając przejrzystość i upraszczając przenoszenie danych, passkeys są zgodne z kluczowymi standardami zgodności, jednocześnie zmniejszając ryzyko operacyjne.
Zrób kolejny krok w zabezpieczaniu przyszłości swojej organizacji. Zaplanuj rozmowę z ekspertem Secfense aby dowiedzieć się, w jaki sposób passkeys mogą usprawnić działania związane ze zgodnością. Aby uzyskać głębszy wgląd, pobierz nasz raport specjalny na temat osiągania zgodności regulacyjnej ze standardami DORA i NIS2.
