Os dados sensíveis dos clientes são um ativo ou um passivo? Quando pensamos nas empresas mais bem-sucedidas dos últimos anos que alavancaram dados de clientes para construir vantagens competitivas — como as empresas FAANG (Facebook, Amazon, Apple, Netflix e Google) — pensamos nos dados dos clientes como um ativo.
No entanto, com o aumento constante de violações de dados e a introdução e aplicação de regulamentos globais de privacidade de dados, os líderes empresariais agora entendem que os dados dos clientes, particularmente dados sensíveis como informações de identificação pessoal (PII), podem ser um passivo para o negócio.
Uma maneira para as empresas reduzirem esse risco de armazenar dados sensíveis dos clientes é não armazenar dados dos clientes, como dados de identidade, em primeiro lugar — empregando soluções de identidade descentralizada.
Centralizando a identidade no indivíduo
Com os modelos atuais de software de gestão de identidade centralizados, uma empresa retém as PII do usuário final, como nome, endereço de e-mail, senhas e outros identificadores para autenticar o usuário online. Em contraste, as ferramentas de identidade descentralizada colocam o usuário no centro da equação de identidade e no controle de seus dados online.
O que é Software de Identidade Descentralizada?
O software de identidade descentralizada permite que os usuários finais, como clientes, mantenham controle direto sobre suas informações de identidade e compartilhem ou revoguem facilmente o acesso a esses dados. Os dados de identidade permanecem em posse do usuário final e a empresa apenas valida a identidade ou qualquer outra informação sensível do usuário.
O conceito de um indivíduo ter controle direto sobre sua identidade digital sem o uso de um registro centralizado, provedor de identidade ou autoridade certificadora é chamado de identidade auto-soberana (SSI).
Por exemplo, no mundo físico, para entrar em um bar com uma política de exigência de idade, um cliente deve provar sua idade apresentando sua data de nascimento em um documento de identidade (ID) com foto emitido pelo governo. O segurança do bar confirmaria a identidade do cliente comparando a foto do ID com o rosto da pessoa e, em seguida, revisando a data de nascimento. Ao fazer isso, o segurança também pode ver outras informações de identificação, como nome, endereço físico e mais no cartão de ID.
Em um cenário de identidade descentralizada, o cliente precisaria apenas compartilhar um cartão digital que afirma que ele atende ao requisito de idade, mas não os dados reais (data de nascimento específica) em si.
| Relacionado: O Problema Evidente com a Verificação de Identidades de Consumidores → |
Como funcionam as soluções de identidade descentralizada?
No ecossistema atual de identidade digital, validar a identidade digital de uma pessoa é mais comumente alcançado através de credenciais baseadas em conta. Os usuários podem ter várias contas e frequentemente usam os mesmos nomes de usuário e senhas entre elas para reduzir o atrito de login, mas isso introduz o risco de credenciais hackeadas. Algumas credenciais baseadas em conta são provisionadas por provedores de identidade centralizados, como provedores de login social, e depois federadas para terceiros. Existem riscos associados a este modelo também, incluindo tempo de inatividade com o provedor de identidade, ou ter o usuário rastreado em várias contas.
Então, como a identidade descentralizada funciona de forma diferente das credenciais baseadas em conta?
Não há armazenamento central de dados de identidade. Em vez disso, o usuário traz suas credenciais de identidade digital, que foram concedidas a ele por uma autoridade confiável, para serem verificadas pela organização que busca validar sua identidade.
| Existem três partes principais em um caso de uso de identidade descentralizada: |
|
O emissor fornece uma credencial a uma pessoa, muitas vezes após um processo típico de verificação no mundo real. Por exemplo, um novo contratado em uma empresa precisaria apresentar seu ID governamental físico, preencher a papelada e, em seguida, receber um crachá físico e uma credencial digital de funcionário. A credencial cria um par de chaves criptográficas:
- Uma chave pública que é armazenada em um livro-razão distribuído através de um identificador descentralizado único (DID) para permitir que um verificador a consulte quando necessário.
- Uma chave privada que é armazenada em uma carteira de credenciais em seu dispositivo móvel, que o novo contratado pode usar para autenticação para acessar contas de funcionários, como uma conta de e-mail corporativa.
Para autenticar sua identidade de usuário, o novo contratado (o sujeito) apresentaria sua chave pública associada à sua credencial de funcionário ao provedor de e-mail (o verificador), que então consultaria isso no livro-razão público. O livro-razão retorna o DID único e apresenta um desafio para a chave privada do funcionário responder. Se o funcionário possuir a chave privada correta vinculada ao DID associado à chave pública, então o usuário é autenticado e verificado e, assim, recebe acesso à conta de e-mail.
No cenário acima, o provedor de e-mail não precisa armazenar informações sensíveis de identidade do usuário. A autenticação é feita com base na confiança do emissor de credenciais que deu ao funcionário uma credencial e escreveu essa informação em um livro-razão público para que outros possam verificar.
Identidade descentralizada para segurança e autenticação aprimoradas
Nos modelos atuais, os dados de identidade podem ser difíceis de proteger, validar e frequentemente adicionam um atrito frustrante ao processo de autenticação do usuário. Por exemplo, senhas sozinhas não são uma maneira confiável de autenticar que uma pessoa é quem diz ser online. Muitas ferramentas, como software de autenticação multifator (MFA), surgiram para resolver isso, mas podem ser um incômodo para o usuário final. Da mesma forma, identidades falsas são frequentemente e facilmente criadas em plataformas sociais, o que torna os logins sociais uma fonte não confiável para fins de verificação de identidade. Para combater essa preocupação, as empresas podem empregar software de detecção de fraudes para transações de alto risco.
Com a identidade descentralizada, no entanto, as empresas não precisam armazenar informações sensíveis do usuário, o que reduz ou até mesmo elimina o risco de informações de identificação pessoal (PII) comprometidas em violações de dados.
As empresas também não precisam investir em produtos de segurança, como software de criptografia, para proteger dados de identidade que não existem em primeiro lugar. Além disso, como não há necessidade de armazenar informações sensíveis como PII, o custo de armazenamento de dados e software de gestão de armazenamento é reduzido.
Como isso impacta o mercado de identidade existente
A identidade descentralizada é nova e de nicho no momento, e os players estão reivindicando espaço no mercado, como observado na categoria de software de identidade descentralizada recentemente criada pela G2. Gigantes do software como Microsoft e IBM estão entrando no espaço, como a Microsoft anunciou seu piloto de identidade descentralizada em setembro de 2020, enquanto a IBM tem uma versão alfa de seu produto de identidade descentralizada disponível.
Além disso, a identidade descentralizada pode ser vista como uma continuação de uma tendência já em curso em um espaço adjacente de privacidade de dados. O conceito de centralizar os indivíduos no ecossistema de dados é uma tendência emergente — tecnologia de privacidade de dados centrada nas pessoas busca operacionalizar da melhor forma as escolhas dos indivíduos em relação aos dados que uma empresa armazena sobre eles. Para alcançar isso, as empresas precisam parar de pensar nos dados como sendo armazenados em silos, mas sim organizados em torno do indivíduo.
| Leia mais: Tendências de 2021 em Tecnologia de Privacidade de Dados Centrada nas Pessoas → |
Como a identidade descentralizada impacta o mercado de identidade existente levanta algumas grandes questões. Como isso impactará os provedores de identidade de hoje? Como isso impactará os provedores de software de login único (SSO) ou empresas que oferecem gerenciadores de senhas? Como isso impactará os anunciantes que dependem de dados de clientes (não apenas dados de identidade)? Não temos as respostas, mas é essencial fazer as perguntas.
Editado por Sinchana Mistry
Quer aprender mais sobre Software de Gerenciamento de Identidade? Explore os produtos de Gerenciamento de Identidade.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
