Ion VACIU în dialog cu Costin BURDUN, expert digitalizare ANSSI
Digital Transformation Council, Revista COMUNICAŢII Mobile şi TelecomTV.ro iniţiază o serie de interviuri video cu Profesioniştii, Liderii şi Decidenţii industriei ICT şi ai celor convergente pentru a dezvălui multiplele implicaţii ale Transformării Digitale.
Miercuri, 10 noiembrie 2021, ora 12.00 vă invităm la un interviu Live (episodul 7) realizat de Ion VACIU cu COSTIN BURDUN, Expert digitalizare ANSSI, despre IDENTITATEA ELECTRONICĂ ŞI REGULAMENTUL EIDAS.
Identitatea electronică şi Regulamentul EIDAS
de Costin Burdun, expert digitalizare ANSSI
Să ne amintim din episoadele precedente…
• Identitatea electronică sau mijlocul de identificare electronică reprezintă asocierea între un set de date personale şi un mecanism de autentificare
• O identitate electronică (mijloc de identificare electronică) este caracterizată de un nivel de încredere al măsurii în care se referă la o persoană fizică reală
• Nivelul de încredere depinde de:
– Gradul de verificare al datelor personale asociate respectivului mijloc de identificare
– Cât de puternic este mecanismul de autentificare utilizat – cât de mult se combină cele trei categorii de factori de autentificare: CE ŞTII, CE AI, CE EŞTI
• Un furnizor de identitate electronică (mijloc de identificare electronică) sau eID este o entitate care:
– gestionează un sistem DESCHIS de identificare electronică
– emite mijloace de identificare electronică în baza unor politici şi proceduri foarte clare care permit să se identifice nivelul de încredere al respectivei identităţi electronice (mijloc de identificare electronică)
IDENTITATE ELECTRONICĂ = MIJLOC DE IDENTIFICARE ELECTRONICĂ !
Nivelul de încredere într-o identitate electronică
•Nivelul de încredere depinde de:
– Gradul de verificare al datelor personale asociate respectivului mijloc de identificare
– Cât de puternic este mecanismul de autentificare utilizat – cât de mult se combină cele trei categorii de factori de autentificare: CE ŞTII, CE AI, CE EŞTI
Regulamentul EIDAS (910/2014)
“Articolul 2
– Domeniul de aplicare
• (1) Prezentul regulament se aplică sistemelor de identificare electronică care au fost notificate de către un stat membru și prestatorilor de servicii de încredere cu sediul în Uniune.”
– Regulamentul se bazează pe faptul că la nivel naţional, în statele membre, există definite sisteme de identificare electronică şi dă posibilitatea statelor membre să notifice astfel de sisteme, în baza unor condiţii clare, pentru a putea să folosim acelaşi mijloc de identificare şi pentru accesarea serviciilor on-line furnizate de organisme publice din alte ţări.
Regulamentul EIDAS (910/2014)
– Concret, scopul Regulamentului este să asigure condiţiile tehnice şi procedurale astfel încât:
• dacă deţin un mijloc de identificare electronică de un anumit nivel de încredere cu care accesez cel puţin un serviciu on-line din România, de exemplu, furnizat de un organism public (să zicem ONRC), atunci să pot utiliza, gratuit, acest mijloc de identificare electronică pentru a accesa orice alt serviciu on-line din orice stat membru UE, de acelaşi nivel de încredere, şi care este deja accesibil printr-un mijloc de identificare de acel nivel
Nivelele de încredere definite de Regulamentul EIDAS (910/2014)
– Fiecare stat membru poate avea propriile nivele de încredere pentru mijloacele de identificare electronică, definite la nivel naţional, dar, pentru îndeplinirea scopului său, Regulamentul stabileşte trei nivele de încredere de referinţă, denumite NIVELE DE ASIGURARE ALE MIJLOACELOR DE IDENTIFICARE ELECTRONICĂ (Art. 8):
• Nivel de asigurare scăzut
• Nivel de asigurare substanţial
• Nivel de asigurare ridicat
Nivelul de asigurare scăzut
– “nivelul de asigurare scăzut se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanțial (CORECT: un grad limitat) de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanțial (CORECT: a reduce) riscul unei utilizări frauduloase sau al modificării frauduloase a identității;” -> versiunea în RO a Regulamentului este GREŞITĂ la această definiţie
– “assurance level low shall refer to an electronic identification means in the context of an electronic identification scheme, which provides a limited degree of confidence in the claimed or asserted identity of a person, and is characterised with reference to technical specifications, standards and procedures related thereto, including technical controls, the purpose of which is to decrease the risk of misuse or alteration of the identity;”
Nivelul de asigurare substanţial
– “nivelul de asigurare substanțial se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad substanțial de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a reduce substanțial riscul unei utilizări frauduloase sau al modificării frauduloase a identității;”
Nivelul de asigurare ridicat
– “nivelul de asigurare ridicat se referă la un mijloc de identificare electronică în contextul unui sistem de identificare electronică, care asigură un grad mai ridicat de încredere în legătură cu identitatea pretinsă sau declarată a unei persoane decât mijloacele de identificare electronică cu nivel de asigurare substanțial și care este caracterizat prin trimitere la specificațiile tehnice, la standardele și la procedurile corespunzătoare respectivului mijloc de identificare, inclusiv controalele tehnice, al căror scop este de a împiedica utilizarea frauduloasă sau modificarea frauduloasă a identității.”
Procedura de notificare a unui mijloc de identificare electronică
– Procedura complexă în care sunt implicate toate statele membre
– Un stat membru notifică tuturor statelor un mijloc de identificare electronică, prezentând în detaliu modul în care îndeplineşte cerinţele tehnice şi procedurale specifice nivelului/nivelelor de asigurare pe care le acoperă
– Fiecare stat membru analizează specificaţiile tehnice respective şi trebuie să le aprobe
– Numai dupa acest proces un mijloc de identificare electronică devine notificat şi poate fi utilizat şi în relaţia cu orice alte servicii on-line furnizate de organisme publice care pot fi accesate cu astfel de mijloace de identificare electronică
Procedura de notificare a unui mijloc de identificare electronică
Concluzii
• Regulamentul EIDAS se aplică DOAR mijloacelor de identificare electronică notificate de către statele membre
• Regulamentul pleacă de la premisa că statele membre au mijloace de identificare electronică cu care se accesează servicii on-line furnizate de către organisme publice
• Scopul notificării este acela de a permite utilizarea unui mijloc de identificare electronică pentru accesarea oricărui alt serviciu on-line furnizat de organisme publice, din orice altă ţară UE, şi care este accesibil deja printr-un mijloc de identificare electronică
• În vederea notificării, sunt definite la nivel tehnic şi procedural trei nivele de asigurare de referinţă
• Nivel de asigurare scăzut
• Nivel de asigurare substanţial
• Nivel de asigurare ridicat
Identitatea-electronica-si-Regulamentul-EIDASUrmăriţi-ne LIVE pe Youtube, LinkedIn & Facebook, portalul industriei – Comunic.ro şi Telecomtv.ro
Puteţi revedea episoadele precedente aici:
* Episodul #6 IDENTITATEA ELECTRONICĂ – DEFINIŢII ŞI CONCEPTE
* Episodul #5 CÂT DE AVANSATĂ E SEMNĂTURA TA AVANSATĂ
* Episodul #4 ÎNCREDEREA ÎN CERTIFICATUL DIGITAL
* Episodul #3 DE CE SEMNAM ELECTRONIC?
* Episodul #2 SEMNATURA DIGITALA SI CERTIFICATUL DIGITAL
* Episodul #1 SEMNATURA ELECTRONICA (Definitii, Categorii, Tipuri, Analogii si Exemple relevante)