چرخه عمر هویت دیجیتال
چرخه عمر هویت دیجیتال بیانگر مجموعه فرآیندهایی است که از زمان ایجاد یک هویت تا زمان حذف، تعلیق یا غیرفعالسازی آن مورد استفاده قرار میگیرد. هویت دیجیتال مجموعهای از خصیصههای هویتی ثبت شده و ذخیره شده بهصورت الکترونیکی است که یک شخص را بهصورت یکتا در یک بافتار مشخص توصیف مینماید و برای مبادلات و تراکنشهای الکترونیکی مورد استفاده قرار میگیرد.
سیستم هویت دیجیتال به سیستمها و فرآیندهایی اشاره دارد که برای مدیریت چرخه عمر هویتهای دیجیتال افراد استفاده میشوند. زیستبوم هویت دیجیتال بسیار پیچیده است و طیف گستردهای از مدلهای هویتی، ارتباطات، ذینفعان و بازیگران با مسئولیتها، علاقهمندیها و اولویتهای متفاوت در آن حضور دارند. هویت دیجیتال بهعنوان بخشی از یک چرخه عمر شامل سه مرحله اصلی ایجاد شده و مورد استفاده قرار میگیرند.
- ثبتنام شامل نامنویسی، اعتبارسنجی و تأیید هویت
- صدور اسناد یا اعتبارنامهها
- احراز هویت برای تحویل سرویس یا انجام تراکنشها
تأمینکنندگان هویت نقش مهمی در مدیریت مستمر سیستم شامل بهروزرسانی و حذف یا اختتام هویتها بر عهده دارند. در شکل به چرخه عمر هویت دیجیتال و نقشهای کلیدی مؤثر بر آن اشاره شده است.
فرآیندهای کلیدی چرخه عمر هویت دیجیتال
ثبتنام
ثبتنام شامل نامنویسی، اعتبارسنجی و تأیید هویت است که در ادامه مورد بررسی قرار میگیرند.
نامنویسی: ثبتنام مهمترین گام در ایجاد هویت دیجیتال است. این فرآیند با نامنویسی آغاز میشود که شامل دریافت و ثبت خصیصههای کلیدی هویتی از شخص مدعی یک هویت مشخص است.
خصیصههای هویتی میتواند شامل دادههای بیوگرافیک (نام، تاریخ تولد، جنسیت، آدرس، ایمیل)، بیومتریک (اثر انگشت و اسکن قرنیه) و بسیاری از خصیصههای دیگر باشد که بهطور گستردهتر یا به کاری که فرد انجام میدهد یا دانش دیگران در مورد فرد مرتبط هستند.
خصیصههای ثبت شده در این مرحله و روش مورد استفاده برای ثبت آنها تأثیر بهسزایی در قابل اعتماد بودن هویت (بر مبنای سطح اطمینان)، کاربردپذیری آن و امکان همکاری متقابل با سیستمهای ملی و بینالمللی دارد.
اعتبارسنجی (اثبات هویت): ایجاد اطمینان نسبت به هویت فرد یک نقطه شروع حیاتی برای تحویل طیف گستردهای از خدمات دولتی و خصوصی به فرد است. زمانی که فردی در طول نامنویسی ادعایی را در مورد یک هویت مطرح میکند، ادعای مطرح شده از طریق مقایسه خصیصههای ارائه شده با دادههای موجود اعتبارسنجی میشود.
تراکنشهای انجام شده با هویت دیجیتال بر مبنای ریسک مرتبط با آنها نیازمند سطوح اطمینان متفاوتی هستند. فرآیند اعتبارسنجی برخورداری یا عدم وجود یک یا چند مورد از ویژگیهای زیر در هویت مورد ادعا را تعیین میکند.
- مشروعیت/ قانونی بودن: مشروعیت برای اطمینان از واقعی بودن هویت (وجود در یک منبع موثق) و تأیید پیوستگی در خصیصههای هویتی در صورت تغییر آنها کنترل میشود.
- وجود/ زنده بودن: مدعی در زمان نامنویسی حاضر بوده (فرد زنده و در محل نامنویسی حاضر باشد) و موقعیت مکانی مشخصی داشته باشد (از طریق آدرس، شماره تلفن یا ایمیل در دسترس باشد).
- یکتایی/ منحصربهفرد بودن: هویت تنها یک مدعی داشته باشد (شخص در پایگاه داده منحصربهفرد باشد) و از دیگر هویتها تمیز داده شود.
- پیوند/ اتصال: هویت باید قابل اتصال به هویتی اجتماعی یا دیگر سوابق هویتی موجود مانند هویتهای موجود در پایگاه داده، ثبت احوال، دفاتر مالیات، ثبت املاک، تأمین اجتماعی، اطلاعات پلیس و غیره باشد.
- سوء سابقه/ ضد تقلب: باید از عدم استفاده از هویت مورد ادعا برای اعمال مجرمانه اطمینان حاصل شود. برای این منظور میتوان از استعلام مراجع قانونی و قضایی استفاده کرد.
اثبات هویت فرآیندی است که بر اساس شواهد هویتی فیزیکی یا اعتبارنامههای دیجیتال/ الکترونیکی انجام میشود. شواهد هویتی با توجه به منبع موثق مورد استفاده و امنیت اعتبارنامه دارای سطح اعتبار و خصیصههای هویتی مختلفی هستند.
صدور
یک هویت ثبت شده قبل از اینکه توسط فرد ادعا (استفاده) شود از یک فرآیند صدور یا تعیین صلاحیت و اعتبار عبور میکند. صادرکننده شناسه (ID) بهطور معمول یک سند مانند گواهی تولد یا یک اعتبارنامه مانند سند الکترونیکی، شناسه الکترونیکی یا پاسپورت الکترونیکی را در اختیار فرد قرار میدهد.
برای اینکه یک شناسه، دیجیتال در نظر گرفته شود، گواهی یا اعتبارنامه صادر شده باید الکترونیکی باشد تا ذخیره و مبادله آن بهصورت الکترونیکی انجام شود.
احراز هویت
زمانی که ثبتنام فرد انجام شد و اعتبارنامه دریافت کرد میتواند از هویت دیجیتال خود برای دستیابی به مزایا و سرویسهای موجود استفاده کند. برای مثال، شهروندان میتوانند از شناسه الکترونیکی خود برای پرداخت آنلاین مالیات استفاده کنند یا از سرویسهای مالی بهرهمند شوند.
کاربران برای دستیابی به سرویس باید با استفاده از یک یا چند فاکتور احراز هویت شوند که در یکی از دستههای بیان شده در شکل زیر یعنی «چیزی که فرد میداند»، «چیزی فرد که هست»، «چیزی که فرد در اختیار دارد» و «چیزی که فرد انجام میدهد» قرار میگیرند.
مدیریت هویت
تأمینکنندگان هویت دیجیتال در طول چرخه عمر آن مسئولیت مدیریت و سازماندهی هویت شامل تجهیزات و کارمندان، نگهداری رکوردهای دادهای، انطباقپذیری و ممیزی و بهروزرسانی وضعیت و محتوای هویت دیجیتال بر عهده دارند.
بهعنوان مثال، کاربران ممکن است خصیصههای هویتی مختلف شامل آدرس، وضعیت ازدواج، تخصص و غیره را بهروزرسانی کنند. علاوه بر این، ممکن است تأمینکنندگان هویت بخواهند یک هویت را به دلیل سرقت، اتمام تاریخ استفاده، فوت صاحب آن و دیگر دلایل امنیتی باطل کنند.
ذینفعان و نقشها
زیستبوم هویتی شامل چند ذینفع اصلی است که با توجه به بافتار هر کشور و نوع و محدوده هویت دیجیتال (شناسه الکترونیک ملی یا پلتفرم بانکداری آنلاین) دارای نقشهای متفاوتی در فرآیندهای شناسایی و احراز هویت کاربران میباشند.
در حالت کلی، افراد (شهروندان یا مشتریان( اصلیترین کاربران نهایی سیستم میباشند در حالی که نهادهای دولتی و شرکتهای خصوصی اصلیترین تأمینکنندگان هویت دیجیتال و دیگر سرویسها هستند.
بازیگران بخش دولتی مسئول مقرراتگذاری، بازیگران بخشهای خصوصی و عمومی مسئول تنظیم استاندارد و ایجاد اعتماد از دیگر ذینفعان کلیدی زیستبوم هویت میباشند.
کاربران نهایی
شهروندان و مشتریان، اصلیترین کاربران نهایی سیستمهای زیستبوم هویت دیجیتال هستند. آنها در سیستمهای هویتی ثبتنام میکنند و از اعتبارنامههای دریافتی برای دسترسی به مزایا و سرویسهای ارائه شده در کشور یا شرکتها استفاده میکنند.
تأمینکنندگان
بازیگران متعددی از بخشهای دولتی و خصوصی بهعنوان تأمینکننده در زیستبوم هویت ایفای نقش میکنند.
نهادهای دولتی: نهادهای دولتی درگیر در زیستبوم هویت عبارتاند از:
- ثبتنام کنندههای قانونی سازمانهایی هستند که مسئولیت قانونی شناسایی هویت شهروندان را بر عهده دارند. سازمانهایی مانند ثبت احوال و مرجع شناسایی هویت ملی (NIA) که مسئولیت ایجاد و نگهداری از اسناد و کارتهای شناسایی ملی را بر عهده دارند.
- ثبتنام کنندههای عملکردی سازمانهایی هستند که وظیفه ایجاد و نگهداری فهرستها و مخازن هویتی برای اهداف خاص یا سرویسهایی شامل کمیسیونهای انتخابی، سازمانهای مالیاتی، سازمان تأمین اجتماعی، بیمارستانها و غیره را بر عهده دارند.
- ارائهدهندگان سرویس دولت الکترونیک سازمانها یا پلتفرمهای دولتی هستند که سرویسهای آنلاین را برای شهروندان و دیگر ساکنین نیازمند اثبات هویت و نامنویسی فراهم میکنند. EESTI (استونی)، MyGov (استرالیا)، UK Verify (بریتانیا)، Hukoomi (قطر)، Suomi (فنلاند)، eAlbania (آلبانی) از جمله سیستمهای ارائهدهنده سرویسهای دولتی برای کاربران میباشند.
سازمانهای خصوصی: سازمانهای خصوصی درگیر در زیستبوم هویت عبارتاند از:
- ارائهدهندگان سرویس خصوصی شرکتهایی هستند که از هویتهای دیجیتال برای ارائه سرویس به مشتریان خود استفاده میکنند و یا با تأمین هویت دیجیتال و سرویس احراز هویت امکان انجام تراکنش در محیط دیجیتال را برای کاربران نهایی فراهم میکنند. بانکها، اپراتورهای شبکه موبایل، فراهمکنندگان مراقبتهای بهداشتی، پلتفرمهای تجارت آنلاین و سازمانهای رتبهبندی اعتباری از جمله ارائهدهندگان سرویس خصوصی هستند.
- پشتیبانیکنندگان راهحلهای هویتی شرکتهایی هستند که سختافزار، نرمافزار و پشتیبانی لازم برای توسعه سیستمهای هویت دیجیتال را فراهم میکنند. این شرکتها ممکن است قراردادهایی برای فراهم نمودن مجموعهای از ورودیها در مراحل چرخه عمر هویت (Identity lifecycle Management – ILM) منعقد کنند یا سرویسهایی را بهصورت مستمر فراهم نمایند.
تأمینکنندگان هویت دیجیتال: بازیگرانی هستند که هویت دیجیتال را به واسطه ثبتنام کاربران (نامنویسی و اعتبارسنجی) و صدور اعتبارنامهها و دیگر مستندات در اختیار آنها قرار میدهند. تأمینکنندگان هویت معمولاً ذخیرهسازی و مدیریت دادهها و اعتبارنامههای کاربران را نیز بر عهده دارند.
ثبتنام کنندههای قانونی رایجترین تأمینکنندگان هویت در بخش عمومی (دولتی) به شمار میروند هر چند ثبتنام کنندههای عملکردی مانند کمیسیون رأیگیری الکترونیکی نیز ممکن است در ایجاد و مدیریت هویت دیجیتال (ثبتنام رأیدهندگان) نقش داشته باشند.
ارائهدهندگان سرویسهای تجاری مانند بانکها و اپراتورهای موبایل نیز میتوانند از رایجترین تأمینکنندگان هویت باشند. غالباً تأمینکنندگان خصوصی هویت برای ثبتنام کاربران و ارائه خدمات در این حوزه به هویتهای قانونی بخش دولتی متکی هستند.
تأمینکننده خصیصه: موجودیتهایی در زیستبوم هویت هستند که دادههای هویتی تأیید شده کاربران را نگهداری میکنند یا خصیصههای هویتی را تأیید کرده و با توجه به رضایت کاربر در اختیار نهادهای ثالث قرار میدهند.
چنین اطلاعاتی ممکن است به دادههای هویتی افراد مانند نام، آدرس، سن، جنسیت و غیره مرتبط باشند یا دادههای مربوط به دستگاه اعتبارنامه مانند دادههای اطلاعات شبکه در مورد فرد را شامل شوند.
همچنین هر نوع اطلاعات دیگر در مورد کاربر شامل دیگر شناسههای متصل شده همچون شماره تلفن، آدرس، شماره تأمین اجتماعی و یا شماره شناسایی نظام آموزشی (تحصیلات) نیز توسط تأمینکننده خصیصه نگهداری میشوند. در بسیاری از موارد بین وظایف تأمینکننده هویت و تأمینکننده خصیصه همپوشانی وجود دارد.
تأمینکننده احراز هویت دیجیتال: موجودیتهایی که خصیصهها و هویتهای کاربران را بهمنظور تشخیص حقوق دسترسی آنها به سرویسها و دیگر مزایا تأیید میکنند. تأمینکننده احراز هویت در بخش عمومی، سازمانهایی مانند ارائهدهندگان سرویسهای دولت الکترونیک و ثبتنام کنندههای عملکردی هستند که مستقیماً با موضوع ارائه سرویس به شرط تأیید هویت کاربر درگیر هستند.
در برخی از موارد مانند سیستم Aadhaar هندوستان، مرجع شناسه ملی مسئولیت احراز هویت از جانب ارائهدهنده سرویس را بر عهده دارد. ارائهدهندگان سرویس تجاری معمولاً احراز هویت کاربران در بخش خصوصی را بر عهده دارند.
ارائهدهنده سرویس: موجودیتهایی مانند نهادهای دولتی یا سازمانهای خصوصی هستند که سرویسها را بهصورت مستقیم در اختیار کاربران نهایی (شهروندان و مشتریان) قرار میدهند. ارائهدهندگان سرویس میتوانند تأمینکننده شناسه دیجیتال و سرویس احراز هویت باشند یا این عملکردها را به سازمانهای دیگر برونسپاری کنند.
بازیگران پشتیبان و توانمندساز
تأمینکنندگان هویت دیجیتال، احراز هویت و دیگر سرویسهای بستر دیجیتال در زیستبوم بزرگتری از بازیگران بخشهای خصوصی و دولتی قرار دارند که از زیستبوم پشتیبانی کرده و امکان استفاده از آنها را فراهم مینمایند. در ادامه مهمترین بازیگران پشتیبان و توانمندساز زیستبوم هویت دیجیتال معرفی میشوند.
رگولاتورها و سازمانهای ناظر مسئولیت کنترل، ممیزی و مقرراتگذاری سیستمهای هویت دیجیتال را بر عهده دارند. سازمانهای دولتی در سطح ملی، مراجع فراملی مانند هیئت محافظت از داده اروپا و نهادهای خود مقرراتگذار مانند سازمان T-Scheme بریتانیا نمونههایی از این سازمانها هستند.
هدف این بازیگران، اطمینان از به کارگیری استانداردهای قانونی و بهروشها توسط تأمینکنندگان هویت دیجیتال و احراز هویت برای جمعآوری، ذخیرهسازی و استفاده از دادههای شخصی کاربران است.
نهادهای تنظیمکننده استاندارد سازمانهایی هستند که پروتکلهای مورد نیاز برای شناسایی هویت و احراز هویت دیجیتال را فراهم میآورند. آژانسهای بخش عمومی [دولتی] مانند کمیته ) و مؤسسه ملی استاندارد و فناوری (NIST) ایالات متحده، سازمانهای خصوصی و غیرانتفاعی مانند سازمان بینالمللی استاندارد (ISO)، بنیاد Open ID، اتحاد FIDO، GSMA و اتحاد Secure Identity از مهمترین نهادهای استانداردسازی میباشند.
افزایش امکان همکاری متقابل و ایجاد راهحلهای هویتی باز و مقیاسپذیر مهمترین اهداف سازمانهای استانداردسازی میباشند.
چارچوبهای اعتماد و سازماندهی هویت مسئولیت تعریف مکانیزمهای فنی، عملیاتی، قانونی و اجرایی برای تبادل اطلاعات مرتبط با مدیریت هویت را بر عهده دارند. بازیگران بخش دولتی راهحلهایی مانند فرآیند پذیرش تأمینکننده هویت دیجیتال (TFPAP) را در این بخش ارائه کردهاند. بازیگران بخش خصوصی مانند اپراتورهای موبایل نیز راهحلهایی نظیر Mobile Connect را در این حوزه ارائه کردهاند.
سازمانهای کمککننده و شرکای توسعه شامل بانک جهانی، بانکهای توسعه محلی، اتحادیه اروپا، سازمان بینالمللی مهاجرت، مرکز بینالمللی توسعه سیاستهای مهاجرت (ICMPD)، کمیساریای عالی پناهندگان سازمان ملل (UNHCR)، صندوق کودکان سازمان ملل (UNICEF)، بنیاد گیتس و دیگر بازیگران ملی و جهانی زیستبوم هویت است که منابع مالی و کمکهای فنی مورد نیاز برای توسعه سیستمهای هویت دیجیتال را فراهم میآورند.
در برخی از موارد، این حمایت و پشتیبانی ممکن است با هدف تقویت عمومی سیستم هویت دیجیتال کشور انجام شود یا ممکن است تنها یکی از مؤلفههای یک برنامه نیازمند شناسایی هویت مانند انتخابات الکترونیکی یا برنامههای انتقال پول باشد.
اخیراً برخی از حمایتکنندگان مانند کمیساریای عالی پناهندگان سازمان ملل در زمینه تأمین هویت، احراز هویت و ارائه سرویس نیز وارد شدهاند و از ثبتنام مبتنی بر خصیصههای بیومتریک برای توزیع غذا در بین پناهجویان استفاده میکنند.
نویسنده: تورج اکبری
