Ha bővíteni szeretnénk ismereteinket a bizalmi szolgáltatásokról, és az eIDAS rendeletben keresünk információkat, láthatjuk, hogy igen magas szinten szabályozza a témakört – megérthetjük és átláthatjuk az alapvető működést, viszont, ha a téma specifikus aspektusai érdekelnek, azokat általában máshol kell keresnünk. További jogi kérdésekben a tagállami jogszabályokat, műszaki tekintetben pedig az európai normatívákat, szabványokat és specifikációkat hívhatjuk segítségül. Az egyik legnagyobb európai szabványosító-szervezet az ETSI, amelynek Electronic Signatures and Infrastructures (ESI) bizottsága az eIDAS rendelet hatályba lépése óta a bizalmi szolgáltatások majdnem minden fontos aspektusát szabványosította. Azonban, létezik egy terület, amely nem került szabványosításra, amely nem más, mint az alanyok azonosítása.

Az azonosítás maga nem bizalmi szolgáltatás – ugyanis nem definiálja akként az eIDAS rendelet – hanem egy bizalmi szolgáltatási komponens, amely tekintetében a szolgáltatók gyakorlata igen gyakran eltér egymástól. Hallhattunk olyan esetekről is, amikor bizonyos szolgáltatók azonosítási folyamatában biztonsági rés volt, amely könnyen elkerülhető lett volna, ha rendelkezésre áll egy egyértelmű szabályrendszer az azonosítás biztonsági vonatkozásairól, illetve az európai harmonizáció célja is hozzájárult egy biztonságos azonosításról szóló specifikáció iránt megfogalmazott igényhez.

Ennek megoldására az ETSI 2020 áprilisában felállította az, STF588 elnevezésű munkacsoportot, amelyet két dokumentum elkészítésével bíztak meg: egy összefoglaló jelentésével, illetve egy szabályzati és biztonsági követelményeket tartalmazó specifikációéval.

Az első dokumentum 2020 decemberében került kiadásra, a következő címmel: ETSI TR 460 – Survey of technologies and regulatory requirements for identity proofing for trust service subjects. A jelentés áttekintést ad az azonosításhoz kapcsolódó technológiákról, jogszabályokról, specifikációkról, irányelvekről és szabványokról. Ha meg szeretnénk ismerkedni az azonosítás alapjaival, ez lehet a legjobb kiindulópont.

A nemrég közzétett második dokumentum, amely az ETSI TS 461 - Policy and security requirements for trust service components providing identity proofing of trust service subjects címet viseli, már kifejezett követelményeket tartalmaz arra vonatkozóan, hogy hogyan azonosítsuk biztonságosan a bizalmi szolgáltatások alanyait. A specifikáció olyan módon készült, hogy a lefedje a potenciális felhasználási területek tekintetében releváns aspektusokat annak érdekében, hogy elkerülhető legyen a személyazonosságokkal való visszaélés – távoli azonosítás esetén követelmény például a videókapcsolat és fizikai dokumentumok esetén azok kézben és valós időben történő bemutatása vagy az automatizált elemzés és gépi tanulásos technológiák használata az ellenőrzéshez. Az azonosítás tekintetében releváns fenyegetésekről a dokumentum B melléklete tartalmaz egy átfogó listát.

Összességében az ETSI ismét kiváló munkát végzett egy újabb eIDAS tekintetében releváns téma feldolgozásával, így növelve az európai bizalmi szolgáltatások biztonságát. Mint minden dokumentum tekintetében, így itt is szükségesek lehetnek majd a jövőben kisebb módosítások, ám már jelenlegi formájukban is jól használhatók arra, hogy a bizalmi szolgáltatók felmérjék folyamataik biztonságát.

Hivatkozások:

ETSI TR 119 460: https://www.etsi.org/deliver/etsi_tr/119400_119499/119460/01.01.01_60/tr_119460v010101p.pdf

ETSI TS 119 461: https://www.etsi.org/deliver/etsi_ts/119400_119499/119461/01.01.01_60/ts_119461v010101p.pdf