PID – Podstawa Innowacyjnego Dokumentu

obserwatorium.biz 2 tygodni temu

PID – Podstawa Innowacyjnego Dokumentu

W dobie cyfryzacji i rosnącej potrzeby bezpiecznej identyfikacji, Personal Identification Data (PID) stają się kluczowym elementem w zarządzaniu tożsamością cyfrową. W ramach unijnego projektu EUDI Wallet, PID stanowią podstawę do stworzenia zharmonizowanego systemu rejestracji i zarządzania identyfikatorami, który ma zapewnić obywatelom i organizacjom w całej Europie możliwość korzystania z bezpiecznej i powszechnie rozpoznawalnej tożsamości cyfrowej.

Czym jest PID?

Dane identyfikacyjne osoby (PID) to zestaw danych wydanych zgodnie z prawem unijnym lub krajowym, które umożliwiają ustalenie tożsamości osoby fizycznej lub prawnej. PID co do zasady jest wydawany przez ten sam organ który utrzymuje rejestr obywateli i wydaje dokumenty tożsamości. Każdy kraj członkowski UE musi publikować listę zaufanych dostawców PID, którzy są odpowiedzialni za weryfikację tożsamości użytkownika na wysokim poziomie zaufania (LoA High), wydawanie PID oraz udostępnianie informacji o ich ważności.

Zgodnie z przyjętym i opublikowanym pod koniec 2024 roku aktem implementacyjnym dotyczącym danych identyfikujących osobę i elektronicznych poświadczeń atrybutów wydawanych europejskim portfelom tożsamości cyfrowej obowiązkowe dane , które każdy PID musi zawierać to:

Aktualne nazwisko (nazwiska),

Aktualne imię (imiona), w tym, w stosownych przypadkach, drugie imię (imiona),

Dzień, miesiąc i rok urodzenia,

Państwo lub stan, prowincja, powiat, obszar lokalny, gmina, miasto, miejscowość lub wieś urodzenia,

Obywatelstwo użytkownika.

Państwa członkowskie muszą zapewnić opcjonalne atrybuty, które zagwarantują niepowtarzalność tożsamości użytkowników w systemie.

Ekosystem EUDI Wallet i rola dostawcy PID

Ekosystem EUDI Wallet opiera się na współpracy między różnymi podmiotami, wśród których kluczową rolę odgrywają dostawcy PID. Są to zaufane organizacje odpowiedzialne za wydawanie i unieważnianie danych identyfikujących osobę oraz za zapewnienie, iż te dane są kryptograficznie powiązane z jednostką portfela użytkownika. Dostawcy PID muszą działać zgodnie z wysokimi standardami bezpieczeństwa, aby zapewnić wiarygodność i integralność procesu identyfikacji.

W ekosystemie EUDI Wallet, dostawcy PID współpracują z dostawcami portfeli cyfrowych oraz stronami ufającymi (np. instytucjami publicznymi czy firmami prywatnymi), które korzystają z PID do weryfikacji tożsamości użytkowników. Każdy kraj członkowski UE musi publikować listę zaufanych dostawców PID, zarządzaną przez Trusted List Providers (TLP), która zawiera informacje o certyfikatach, politykach i poziomach zaufania (LoA).

PID a inne poświadczenia

W ramach rozporządzenia w sprawie tożsamości cyfrowej wyróżnia się cztery kategorie prawne poświadczeń: PID, Kwalifikowane Elektroniczne Poświadczenie Atrybutów (QEAA), Elektroniczne Poświadczenie Atrybutów wydane przez organ sektora publicznego (PuB-EAA) oraz Niekwalifikowane Elektroniczne Poświadczenie Atrybutów (EAA). Różnice między tymi kategoriami są głównie prawne, natomiast z technicznego punktu widzenia wszystkie są zgodne z jednym z formatów poświadczeń, takimi jak ISO/IEC 18013-5 czy SD-JWT-based Verifiable Credentials.

Jedną z kluczowych różnic między PID a EAA jest to, iż obecność lub brak ważnego PID decyduje o tym, czy jednostka portfela jest w stanie operacyjnym. Stan operacyjny jednostki portfela tożsamości cyfrowej jest najważniejszy dla jej funkcjonalności. 

Użytkownik może posiadać wiele identyfikatorów PID w jednej jednostce portfela, co jest szczególnie przydatne w przypadku osób posiadających wiele narodowości lub reprezentujących inne osoby prawne.

Jeśli wszystkie PIDy w jednostce portfela wygasną lub zostaną unieważnione, jednostka portfela traci stan operacyjny. Oznacza to, iż użytkownik nie może już korzystać z portfela do wykonywania operacji, które wymagają ważnego PID, takich jak uwierzytelnianie się w usługach publicznych czy prywatnych.

Warto jednak zaznaczyć, iż sam portfel nie staje się całkowicie niefunkcjonalny – może przez cały czas przechowywać inne dane, takie jak poświadczenia atrybutów (EAA), które nie są bezpośrednio związane z PID.

Zarządzanie PID w EUDI Wallet

Proces zarządzania PID w ramach EUDI Wallet obejmuje kilka kluczowych etapów. Użytkownik, korzystając ze swojej jednostki portfela, może żądać wydania PID od dostawcy. Po wydaniu PID, użytkownik może przedstawić atrybuty z jednostki portfela stronom ufającym, takim jak instytucje publiczne czy firmy prywatne, w zależności od decyzji użytkownika i pomyślnego uwierzytelnienia strony ufającej. Zamiast prezentować atrybuty stronie ufającej, użytkownik może również zaprezentować je innemu użytkownikowi, co oznacza, iż jego jednostka portfela wchodzi w interakcję z inną jednostką portfela.

Dostawca PID pozostaje odpowiedzialny za zarządzanie PID przez cały okres jego istnienia. Może to obejmować ponowne wydanie PID z tymi samymi lub innymi wartościami atrybutów, a także odwołanie PID na podstawie wniosku użytkownika lub innych okoliczności określonych w zasadach dostawcy. Należy jednak pamiętać, iż Dostawca Portfela może zdecydować, iż jego Jednostka Portfela nie obsługuje wszystkich Dostawców PID, i odwrotnie, Dostawca PID może zdecydować, że nie obsługuje wszystkich Rozwiązań Portfela.

Bezpieczeństwo i prywatność

Bezpieczeństwo danych identyfikacyjnych jest najważniejsze w procesie zarządzania PID. Dostawcy PID muszą weryfikować tożsamość użytkownika na wysokim poziomie zaufania (LoA High), a także zapewnić, iż dane identyfikacyjne są kryptograficznie powiązane z portfelem użytkownika. Ponadto, każdy PID musi posiadać standardowy identyfikator atestacji, który zapewnia jednolity system uwierzytelniania w całej UE.

W przypadku unieważnienia PID, dostawcy muszą posiadać spisane zasady unieważniania, które są publicznie dostępne. Unieważnienie jest nieodwracalne, a użytkownik musi być informowany o nim w ciągu 24 godzin. Techniki ochrony prywatności muszą uniemożliwiać powiązanie unieważnionych poświadczeń z użytkownikiem, jeżeli nie jest to wymagane.

Metody weryfikacji tożsamości

Dostawcy Person Identification Data (PID) to zaufane podmioty, które odpowiadają m.in. za weryfikację tożsamości użytkownika zgodnie z wymogami LoA High (wysoki poziom zaufania). Weryfikacja tożsamości użytkownika jest kluczowym elementem procesu wydawania PID.

Dostawcy PID mogą korzystać z różnych metod weryfikacji tożsamości, takich jak elektroniczna identyfikacja (eID), identyfikacja wideo, identyfikacja selfie, kryptograficzna weryfikacja dokumentów czy weryfikacja kwalifikowanego podpisu elektronicznego (QES). Każda z tych metod ma swoje zalety i wyzwania, na przykład, eID usprawnia proces transgranicznych transakcji elektronicznych w UE, ale wymaga interoperacyjności między różnymi państwami członkowskimi. Z kolei identyfikacja wideo jest wygodniejsza niż spotkanie twarzą w twarz, ale wymaga stabilnego i bezpiecznego połączenia internetowego. Kryptograficzna weryfikacja dokumentów wykorzystuje technologię NFC do odczytu chipów w dokumentach tożsamości, co dostarcza więcej informacji itd. Do weryfikacji tożsamości cyfrowej można zastosować kilka metod, gdyż nie każda zapewnia kompleksowe dowody dla wszystkich atrybutu, który wchodzi w skład PID.

Podsumowanie

PID stanowią fundament innowacyjnego rozwiązaznia, jakim jest Portfel EUDI. Dzięki zharmonizowanemu systemowi zarządzania tożsamością cyfrową, portfel EUDI zapewni bezpieczeństwo, interoperacyjność i ochronę prywatności użytkowników. Wraz z rozwojem technologii i standardów, PID będą odgrywać coraz większą rolę w cyfrowej transformacji Europy, umożliwiając obywatelom i organizacjom bezpieczne i wygodne korzystanie z usług cyfrowych.

Wprowadzenie PID to krok w kierunku przyszłości, w której tożsamość cyfrowa będzie nie tylko bezpieczna, ale także powszechnie rozpoznawalna i akceptowana w całej Unii Europejskiej. Dostawcy PID, jako kluczowi gracze w ekosystemie EUDI Wallet, odgrywać będą kluczową rolę w zapewnieniu, iż proces identyfikacji jest zarówno bezpieczny, jak i zgodny z unijnymi standardami.