Tag Archives: authentication

Demande de commentaires et d’examen des droits de propriété intellectuelle : Recommandation finale pour la composante « Authentification » V1.1 du CCP

Déclaration d’intention : Le CCIAN collabore pour développer et publier la composante « Authentification » du Cadre de confiance pancanadien (CCP) afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé. Pendant cette période d’examen public, le CCIAN cherche à obtenir la rétroaction de la communauté afin de s’assurer que les critères de conformité sont clairs et vérifiables.

Pour en savoir davantage sur la vision pancanadienne et la proposition de valeur procurant des avantages pour tous, veuillez passer en revue l’aperçu du Cadre de confiance pancanadien.

État des documents : Ces documents à examiner ont été développés par les membres du Comité d’experts du Cadre de confiance (TFEC) du CCIAN, qui sont régis par les politiques qui contrôlent le CCIAN et comprennent des représentants des secteurs privé et public. Ces documents ont été approuvés par le TFEC en tant que recommandations finale V1.1.

Résumé

La composante « Authentification » du CCP définit :

1.      Un ensemble de processus donnant accès à des systèmes numériques.

2.      Un ensemble de critères de conformité pour chaque processus qui, lorsqu’un processus s’avère conforme, permettent de faire confiance au processus.

Invitation

  • Toutes les parties intéressées sont invitées à faire des commentaires.

Période

  • Début : 16 janvier 2024 à 23 h 59 HP | Fin : 15 février 2024 à 23 h 59 HP

En examinant les critères de conformité de la composante, veuillez tenir compte de la question qui suit et noter que les réponses ne sont pas contraignantes et visent à améliorer le CCP.

  1. Considéreriez-vous que les critères de conformité sont vérifiables ou non? Autrement dit, pourriez-vous évaluer objectivement si une organisation était conforme à ces critères et quelles preuves seraient utilisées pour justifier cela?

Documents à examiner : Authentification

Droits de propriété intellectuelle

Les commentaires doivent être reçus pendant la période de 30 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du CCIAN sont également assujettis à la politique sur les droits de propriété intellectuelle. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 30 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet.

Processus

Valeur pour les Canadiens

La composante « Authentification » du CCP vise à assurer l’intégrité continue des processus de connexion et d’authentification en certifiant, au moyen d’un processus d’évaluation, qu’ils sont conformes aux critères de conformité uniformisés. Les critères de conformité pour cette composante peuvent être utilisés pour fournir des assurances :

·  Comme quoi les processus de confiance donnent la représentation d’un sujet unique à un niveau assurant qu’il s’agit du même sujet à chaque connexion réussie auprès d’un fournisseur de services d’authentification.

·  En ce qui concerne la prévisibilité et la continuité des processus de connexion qu’ils offrent ou dont ils dépendent.

Tous les participants bénéficieront de :

·  Processus de connexion et d’authentification qui sont répétitifs et uniformes (qu’ils offrent ces processus, dépendent d’eux ou les deux).

·  L’assurance que les utilisateurs identifiés peuvent prendre part à des interactions autorisées avec des systèmes à distance.

Les parties dépendantes bénéficieront de :

·  La capacité de tirer parti de l’assurance comme quoi les processus de confiance de l’authentification identifient d’une manière unique, à un niveau de risque acceptable, un sujet dans la sphère de leur application ou programme.

Contexte

Cet examen a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du Cadre de confiance pancanadien.

Le CCIAN s’attend à modifier et à améliorer ces candidats à une recommandation finale en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans les prochaines ébauches et le CCIAN va préparer un document expliquant d’une façon transparente comment chaque commentaire a été traité.

Directory of Identity Management and Proofing Products

Our Directory of Identity Management and Proofing Products has been retired and replaced by our new DIACC Member Services Directory (MSD).

The DIACC MSD incorporates public feedback and new capabilities, including filter-based search. Only DIACC Members, certified service providers, and service providers undergoing certification are eligible to list their services. The DIACC MSD opened on February 15th, 2024. As DIACC members, certified service providers, and service providers undergoing certification complete their DIACC MSD listings, the value of this resource will grow.

DIACC Member Services Directory Objectives: 

  • Address a range of adoption audiences, e.g., law societies, lawyers, notaries, and industry professionals who must verify their clients’ identities. 
  • Help members communicate adherence to standards, best practices, and specific privacy, security, equity, and trust requirements. 
  • Based on your valuable feedback, evolve our previous static (PDF) directory and expand the service types listed.
  • Provide a dynamic, filterable, and searchable tool for easier access to information.
  • Showcase our members’ service capabilities and design features.  

We understand that transitions can be challenging as we move from the Directory of Identity Management and Proofing Products to the DIACC Member Services Directory. Send questions regarding this transition or your interest in being listed in the DIACC MSD to directory@diacc.ca.

Decentralized Identity and DIACC PCTF Authentication

While the Authentication component may have been mostly developed before Decentralized Identity approaches emerged, this document demonstrates that Authentication is applicable in the context of Decentralized Identity systems and encourages service providers not to lose sight of good security practice even in the face of new approaches.

Download the paper.

Decentralized-Identity-and-DIACC-PCTF-Authentication-1

Reliance on the Internet and the Battle Against COVID-19 Highlight the Need for Multi-Channel Authentication

By Karl P. Kilb III, CEO, Boloro Global Ltd.

Today, as COVID-19 rocks the world, the importance of digital identity solutions are only emphasized. We are pleased to share a number of guest blogs in the context of the DIACC network, showcasing members with capabilities, solutions and forward-thinking ideas surrounding the pandemic.

Learn more about DIACC member initiatives and identity solutions within the COVID-19 Actions Directory, where we are pleased to share the actions taken to address the demands of these extraordinary circumstances. 

Due to the COVID-19 pandemic, society is moving towards an increasingly virtual lifestyle, as many of our daily activities are now taking place in the digital realm, including online banking and eCommerce. We are all traveling non-stop on an information superhighway that was not built with safety and security in mind, as the Internet was built for mass dissemination of information and not for secure transactions and other risky activity that could allow fraudsters to run rampant with identity theft. We see stories each day about emails being hacked and Operating Systems being subjected to malware, making online activity inherently vulnerable to fraud. Our increased reliance on online activity during the current pandemic highlights these long-standing problems, as SIM Swaps, email hacks, malware, man-in-the-middle attacks and other forms of fraud are all rising dramatically. The decentralization of customer support desks may also be contributing to the ability of fraudsters to wreak havoc on current security systems in place. 

So, what can be done to put real security in the hands of consumers? 

As activity on the Internet and Operating Systems are increasingly becoming easy prey to sophisticated fraudsters who routinely exploit this single point of failure, we need to consider new approaches to security that avoid such systems. Security should not only be multi-factor, but also multi-channel, eliminating the vulnerabilities of a single point of failure. “In app security” is still touching the inherently vulnerable Internet, meaning its users are still putting all of their eggs in an unstable basket. Out-of-band security is one option that stands as a viable alternative, meaning, when activity is on one channel, authentication should be on a separate channel, providing an independent lock-and-key that cannot be intercepted and compromised. 

At a time when the world is increasingly becoming aware of the inherent vulnerabilities of virtual technologies, we are also seeing the dangers of physically touching public Point of Sale devices, ATM keypads, finger scanners, or anything that could spread the virus. During a time of social distancing, conducting multi-factor and multi-channel security safely on one’s own device is an effective approach.

Along with data protection and privacy, authentication processes must also be considered. In Europe, for instance, the Payment Services Directive (PSD2) defines Secure Customer Authentication, and the General Data Protection Regulation (GDPR) defines the guidelines for protection of personal data, regardless of the form it might take. There is a need to address both. One way this can be achieved is with a multi-channel approach that provides real security (both what you possess and what you know). Authentication should strive to provide assurance to the question “Is this really you?” without being unnecessarily intrusive in its use of a consumer’s personal data.

At Boloro, we believe that authentication should be multi-factor and multi-channel, separating the security process from the activity itself in order to avoid the vulnerabilities of a single point of failure. Authentication should be secure, user-friendly, instantaneous and compatible with all mobile phones, giving everyone the opportunity to safely, securely and seamlessly participate in the global economy and social media using what should be their most trusted device – their own personal, mobile handset. 

We should all strive to work together to make the world safer and healthier, and doing this through secure mobile activity is one of the ways we can work towards achieving this goal.

About the Author: Karl P. Kilb III

Karl P. Kilb III has been the CEO of Boloro Global Limited since October 2016, focusing on the licensing of Boloro Authentication for all forms of identity verification and activity validation. Boloro Authentication is patented in 84 countries and approved by the GSMA, among others. Prior to Boloro, Kilb was a pioneer in data, analytics, media, and electronic trading at Bloomberg LP, serving as General Counsel for more than 15 years. Kilb regularly lectures on identity verification, cyber security, fraud prevention, and welcomes exploring collaboration opportunities.