2de cid safe netwerkbijeenkomst (dutch, 29
Post on 18-Dec-2014
453 Views
Preview:
DESCRIPTION
TRANSCRIPT
Tweede netwerk bijeenkomstMaarten Wegdam, projectleider29 september 2010
Agenda
10:00 Opening en status cidSafe10:20 De visie van de Rabobank10:50 cidSafe oplossingsrichting11:30 Pauze11:45 Discussiesessie12:30 Wrap-up12:45 Lunch + netwerken12:45 Lunch + netwerken
2
cidSafe initiatiefa safe consumer identity
• High-trust consumer identity
• Consortium project, sinds 2010Q1
• Doel: doorbraak voor high-trust consumerg
identity in Nederland
K t t ij d l f h dit lijk i• Korte termijn doel: of en hoe dit mogelijk is,
met een initiele focus op de financiele sector
3
ABN AMROWie ABN-AMRO, ING, RBS
Partners
Klankbord Achmea, Aegon, Adfiz, N ti l N d l dKlankbord
groep Nationale Nederlanden, OHRA,SNS Reaal
4
Oplossing in 5 bullets
1. Hergebruik van identiteiten2 Externe identityprovider2. Externe identityprovider3. Trust framework, met governance en audits4. Technologie onafhankelijkg j5. Schaalbaar, o.a. door Levels of Assurance
Belofte: goedkoper, makkelijker en veiliger …
5
Consortium aanpak
• Incrementeel werkt niet• 100% (?) van de consumenten• 100% (?) van de consumenten• Kip en ei: identiteitsprovider en
dienstenaanbieder
• Balanceren belangen• Delen investeringen in totstandkomingDelen investeringen in totstandkoming • Draagvlak
6
Status cidSafe
• Rapport over buitenlandse cases• Whitepaper over gebruik DigiD/BSN• Klankbordgroep• Rol overheid en relatie eHerkenning• Business caseBusiness case• Visie en uitgangspunten consolideren
7
OplossingsrichtingUitgangspunteng g pVoordelen voor service providersTop 5 vragen
Trust framework
Af k ll l i hAfspraken waar alle spelers zichaan moeten houden
Meer vertrouwen en een gezond ecosysteem• Nieuwe identity providers kunnen toetreden• Dienstenaanbieders kunnen makkelijk gebruik maken
van alle identity providers (schaalbaarheid)• Balanceren van belangen van identity providers• Balanceren van belangen van identity providers,
dienstenaanbieders en gebruikers• Privacy afspraken• Governance / audits
9
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief
10
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d
Authenticatie middelonafhankelijk
4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitiefMeerdere
sectoren Aansluiten EU, standaarden etc
11
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi dAudits van afspraken4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitiefVeilig niveau
e-banking
Audits van afspraken
gBetrouwbare attributen(naam, NAW, etc)
12
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief
Consument kan 1 sleutelbij vele dienstverlenersgebruiken
Frequent gebruik
13
g
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar
Technisch eenvoudigaansluiten2. Betrouwbaar
3. Gebruikersgemak4 K t ffi ië t di t bi d
aansluiten
4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief
Delen kosten voor authnmiddel en binding met vele partijen
Contractueel eenvoudigaansluiten
14
p j
Uitgangspunten cidSafe
1. Algemeen gebruik2 Betrouwbaar State-of-the-art privacy-by-2. Betrouwbaar3. Gebruikersgemak4 K t ffi ië t di t bi d
State of the art privacy bydesign & privacy-enhancing technologies
4. Kostenefficiënt voor dienstenaanbieders5. Privacy sensitief
Gedragsregelsm.b.t. privacy
Informed consent
15
p y
Vier voordelen voor dienstenaanbiedersVier voordelen voor dienstenaanbieders
meer business
gebruikers veiligergebruikers-vriendelijker
i d k t16
minder kosten
Gebruikersvriendelijker
• Gebruikers willen herbruikbare, vertrouwde, identiteit“Ze kunnen daarbij kiezen tussen inloggen met hun DigiD of inloggen met hun patiëntnummer gebruikersnaam eninloggen met hun patiëntnummer, gebruikersnaam en wachtwoord. ‘Ruim 80 procent kiest voor de eerste optie,’ zegt Van Aken.”bron: Zorgvisie.nl, 18 januari 2010
• Gebruikers vergeten wachtwoord bij <1/maandgebruikg“als een eID minder dan 15 keer per jaar gebruikt wordt, vergeten gebruikers hun wachtwoorden/PINs”.bron: Forrester, Government eID Projects Need Private Sector Initiative And Support For Broader Success, April 7, 2008Support For Broader Success, April 7, 2008
17
Veiliger
• Beter registratie proces mogelijk• Veiligere authenticatiemiddelen mogelijk• Vermijden ‘re-use’ wachtwoorden
“73 percent of users were using the password for their online bank sites to access at least one other website”Too man people re se their logins Net ork World Febr ar 2010Too many people re-use their logins, Network World, February 2010
• Meer expertise bij identity providers dan bij service providers
18
Minder kosten Ramingen kosten variëren: 2-80ct per transactie
• Delen kosten met vele partijen• Hergebruik zorgt voor minder identiteiten per consument• Minder helpdesk en andere kosten door vergetenMinder helpdesk en andere kosten door vergeten
wachtwoorden“Gartner estimates that password‐related Help Desk calls – suchas password resets - cost an average of $17 per call”T l th i l i N t k W ld F b 2010Too many people re-use their logins, Network World, February 2010
• Drastische reductie beheerslast van identiteiten• Simpelere (back-end) processen
“ h t B l i h ID M t b ik d id k t h l id“over het Belgische eID: Met gebruik van de e-id kaart herleiden we het administratief proces van dertien stappen naar zes.”bron: Data news - nr 5 - 10 februari 2006
• Kanaalsturings effecten: meer internet, minder post & g , ptelefoon
19
Meer business
• Hogere conversie“because of required registering, one-quarter leavethe site without registering or purchasing.”bron: Forrester, “Required Registration Lowers Online Conversion Rates”, April 15, 2008
“France Telecom … found that at every new screen presented during sign up 50% of users give up andpresented during sign up, 50% of users give up and go elsewhere.”bron: “How will OpenID change your site?”, Blog Peter Nixey (Founder of Clickpass)
• Meer bezoek bestaande klanten door• Meer bezoek bestaande klanten door gebruikersgemak
• Enabler geïntegreerde diensten (service bundling) met partners
20
Top vijf kritische vragen
• Veiligheid: het ultieme phishing target?• Hoe account linking zonder gebruik BSN?Hoe account linking zonder gebruik BSN?• Privacy van de consument?• Afhankelijkheid van vele Identity Provider?j y• Waarom lukt dit en eerdere initiatieven niet?
21
Veiligheid: het ultieme phishing target?
Situatie een identiteit die herbruikbaar is bij vele online diensten is extra aantrekkelijk voor attacks
Antwoord • Identity providers hebben meer geld ter b hikki d d t k t d ldbeschikking doordat kosten gedeeld worden met vele partijen -> veiligere authenticatie middelen en binding mogelijk
• In vergelijking met silo aanpak is er hogere• In vergelijking met silo aanpak is er hogere expertise bij paar identity providers dan bij vele dienstverleners
22
H t li ki d b ik BSN?Hoe account linking zonder gebruik BSN?
Situatie een klant meldt zich online, hoe zeker te weten
• Situatie: een klant meldt zich online, hoe zeker te weten welke interne klant identifier dit is (zonder unieke identifier a la BSN)
welke interne klant identifier dit is (zonder unieke identifier a la BSN)
Antwoord • Klant krijgt unieke en persistent psuedoniem van la BSN)
• Antwoord• Klant krijgt unieke en persistent psuedoniem van zijn identity
jg p pzijn identity provider, dus probleem geldt alleen bij eerste bezoek
• Identity provider geeft rijke set aan gevalideerde• Klant krijgt unieke en persistent psuedoniem van zijn identity provider, dus probleem geldt alleen bij eerste bezoek
• Identity provider geeft rijke set aan gevalideerde attributen mee (NAW geboortedatum geboorteplaats)
Identity provider geeft rijke set aan gevalideerde attributen mee (NAW, geboortedatum, geboorteplaats)
• Afhankelijk van veiligheidsniveau kan klant om(NAW, geboortedatum, geboorteplaats)
• Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim zoals klantnummer gevraagd worden. Aanvullend kan de klant op thuisadres een brief krijgen, een handtekening moeten
Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim zoals klantnummer gevraagd worden.
• Aanvullend kan de klant op thuisadres een brief krijgen, een handtekening moeten terugsturen ofp jg , g
terugsturen of zelf een fysieke controle.
zie tab beeld/kop- voettekst om dit te wijzigen23
krijgen, een handtekening moeten terugsturen of zelf een fysieke controle.
Privacy van de consument?
Situatie Introduceert dit niet een privacy probleem?
Antwoord • In het trust framework worden privacy eisen gesteld aan identity providers en dienstenaanbiedersdienstenaanbieders
• We gebruiken state-of-the-art privacy denken zoals informed consent en attributen delen (bv alleen 18+).
• Consumenten kunnen kiezen voor meerdere identity providers, indien gewenst.
zie tab beeld/kop- voettekst om dit te wijzigen24
• We introduceren geen unieke identifier
Afhankelijkheid van vele Identity Providers?
Situatie Voor de dienstverlening (continuiteit, veiligheid) is er een externe afhankelijkheidveiligheid) is er een externe afhankelijkheid naar vele identity providers
Antwoord • Er zijn strenge toelatingseisen voor identityproviders, die objectief getoetst worden
• Er zijn afspraken rondom SLA en veiligheid, identity providers die dit breken mogen niet y p gmeer meedoen
• Er zijn afspraken rondom liability
zie tab beeld/kop- voettekst om dit te wijzigen25
Waarom lukt dit en eerdere initiatieven niet?Waarom lukt dit en eerdere initiatieven niet?Situatie Er zijn eerdere pogingen geweest om een generieke
consumer identiteitsoplossing te introduceren in p gNL
Antwoord • Timing: de noodzaak is nu groter:• Consumenten willen meer online dienstverlening• Consumenten willen meer online dienstverlening,• Kostenbesparingen vragen om meer online
dienstverlening• Meer cybercrime• De technologie en standaarden zijn volwassener
• Aanpak: consortium aanpak vanwege realisatie dat p p gdeze markt niet incrementeel zal groeien, vragers en aanbieders samen brengen en onder regie van onafhankelijke expertpartij
zie tab beeld/kop- voettekst om dit te wijzigen26
onafhankelijke expertpartij.
Agenda
10:00 Opening en status cidSafe10:20 De visie van de Rabobank10:50 cidSafe oplossingsrichting11:30 Pauze11:45 Discussiesessie12:30 Wrap-up12:45 Lunch + netwerken12:45 Lunch + netwerken
27
Wrap-up
cidSafe fase 1 afronden
• Business case• Visie en uitgangspunten consolideren• Relatie overheid en eHerkenning• Behoefte en urgentie in financiële sectorGO / NO-GOGO / NO GO • Fase 2 vanaf dec 2010, mogelijke ingrediënten
• Trust framework definieren
• Pilot
• Verbreding in financiële sector, en andere sectoren
29
LUNCH! http://cidsafe.novay.nlmaarten.wegdam@novay.nlBlog: http://maarten wegdam nameBlog: http://maarten.wegdam.name
30
top related