2de cid safe netwerkbijeenkomst (Dutch, 29

730 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
730
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

2de cid safe netwerkbijeenkomst (Dutch, 29

  1. 1. Tweede netwerk bijeenkomst Maarten Wegdam, projectleider 29 september 2010
  2. 2. Agenda 10:00 Opening en status cidSafe 10:20 De visie van de Rabobank 10:50 cidSafe oplossingsrichting 11:30 Pauze 11:45 Discussiesessie 12:30 Wrap-up 12:45 Lunch + netwerken 2
  3. 3. cidSafe initiatief a safe consumer identity • High-trust consumer identity • Consortium project, sinds 2010Q1 • Doel: doorbraak voor high-trust consumer g identity in Nederland • K t termijn d l of en hoe dit mogelijk i Korte t ij doel: f h lijk is, met een initiele focus op de financiele sector 3
  4. 4. Wie ABN-AMRO, ABN AMRO ING, RBS Partners Achmea, Aegon, Adfiz, Klankbord Nationale N d l d N ti l Nederlanden, groep OHRA,SNS Reaal 4
  5. 5. Oplossing in 5 bullets 1. Hergebruik van identiteiten 2. 2 Externe identityprovider 3. Trust framework, met governance en audits 4. Technologie onafhankelijk g j 5. Schaalbaar, o.a. door Levels of Assurance Belofte: goedkoper, makkelijker en veiliger … 5
  6. 6. Consortium aanpak • Incrementeel werkt niet • 100% (?) van de consumenten • Kip en ei: identiteitsprovider en dienstenaanbieder • Balanceren belangen • Delen investeringen in totstandkoming • Draagvlak 6
  7. 7. Status cidSafe • Rapport over buitenlandse cases • Whitepaper over gebruik DigiD/BSN • Klankbordgroep • Rol overheid en relatie eHerkenning • Business case • Visie en uitgangspunten consolideren 7
  8. 8. Oplossingsrichting Uitgangspunten g g p Voordelen voor service providers Top 5 vragen
  9. 9. Trust framework Afspraken waar alle spelers zich Af k ll l i h aan moeten houden Meer vertrouwen en een gezond ecosysteem • Nieuwe identity providers kunnen toetreden • Dienstenaanbieders kunnen makkelijk gebruik maken van alle identity providers (schaalbaarheid) • Balanceren van belangen van identity providers providers, dienstenaanbieders en gebruikers • Privacy afspraken • Governance / audits 9
  10. 10. Uitgangspunten cidSafe 1. Algemeen gebruik 2. 2 Betrouwbaar 3. Gebruikersgemak 4. 4 Kostenefficiënt voor dienstenaanbieders K t ffi ië t di t bi d 5. Privacy sensitief 10
  11. 11. Uitgangspunten cidSafe 1. Algemeen gebruik 2. 2 Betrouwbaar 3. Gebruikersgemak Authenticatie middel onafhankelijk 4. 4 Kostenefficiënt voor dienstenaanbieders K t ffi ië t di t bi d Meerdere 5. Privacy sensitief Aansluiten EU, sectoren standaarden etc 11
  12. 12. Uitgangspunten cidSafe 1. Algemeen gebruik 2. 2 Betrouwbaar 3. Gebruikersgemak 4. 4 K t ffi ië t Audits van afspraken Kostenefficiënt voor dienstenaanbieders di t bi d Veilig niveau 5. Privacy sensitief g e-banking Betrouwbare attributen (naam, NAW, etc) 12
  13. 13. Uitgangspunten cidSafe 1. Algemeen gebruik 2. 2 Betrouwbaar 3. Gebruikersgemak 4. 4 Kostenefficiënt voor dienstenaanbieders K t ffi ië t di t bi d 5. Privacy sensitief Consument kan 1 sleutel Frequent gebruik bij vele dienstverleners g gebruiken 13
  14. 14. Uitgangspunten cidSafe 1. Algemeen gebruik Technisch eenvoudig 2. 2 Betrouwbaar aansluiten 3. Gebruikersgemak 4. 4 Kostenefficiënt voor dienstenaanbieders K t ffi ië t di t bi d 5. Privacy sensitief Delen kosten voor authn Contractueel eenvoudig middel en binding met aansluiten vele partijen p j 14
  15. 15. Uitgangspunten cidSafe 1. Algemeen gebruik 2. 2 Betrouwbaar State-of-the-art privacy by State of the art privacy-by- design & privacy-enhancing 3. Gebruikersgemak technologies 4. 4 Kostenefficiënt voor dienstenaanbieders K t ffi ië t di t bi d 5. Privacy sensitief Gedragsregels Informed consent m.b.t. privacy p y 15
  16. 16. Vier voordelen voor dienstenaanbieders meer business gebruikers- gebruikers veiliger vriendelijker minder k t i d kosten 16
  17. 17. Gebruikersvriendelijker • Gebruikers willen herbruikbare, vertrouwde, identiteit “Ze kunnen daarbij kiezen tussen inloggen met hun DigiD of inloggen met hun patiëntnummer gebruikersnaam en patiëntnummer, wachtwoord. ‘Ruim 80 procent kiest voor de eerste optie,’ zegt Van Aken.” bron: Zorgvisie.nl, 18 januari 2010 • Gebruikers vergeten wachtwoord bij <1/maand g gebruik “als een eID minder dan 15 keer per jaar gebruikt wordt, vergeten gebruikers hun wachtwoorden/PINs”. bron: Forrester, Government eID Projects Need Private Sector Initiative And Support For Broader Success, April 7, 2008 17
  18. 18. Veiliger • Beter registratie proces mogelijk • Veiligere authenticatiemiddelen mogelijk • Vermijden ‘re-use’ wachtwoorden “73 percent of users were using the password for their online bank sites to access at least one other website” Too man people re se their logins Net ork World Febr ar 2010 many re-use logins, Network World, February • Meer expertise bij identity providers dan bij service providers 18
  19. 19. Minder kosten Ramingen kosten variëren: 2-80ct per transactie • Delen kosten met vele partijen • Hergebruik zorgt voor minder identiteiten per consument • Minder helpdesk en andere kosten door vergeten wachtwoorden “Gartner estimates that password‐related Help Desk calls – such as password resets - cost an average of $17 per call” Too T many people re-use th i l i l their logins, N t Network W ld F b k World, February 2010 • Drastische reductie beheerslast van identiteiten • Simpelere (back-end) processen “over h t B l i h eID: M t gebruik van d e-id k t herleiden “ het Belgische ID Met b ik de id kaart h l id we het administratief proces van dertien stappen naar zes.” bron: Data news - nr 5 - 10 februari 2006 • Kanaalsturings effecten: meer internet, minder post & g , p telefoon 19
  20. 20. Meer business • Hogere conversie “because of required registering, one-quarter leave the site without registering or purchasing.” bron: Forrester, “Required Registration Lowers Online Conversion Rates”, April 15, 2008 France Telecom … found that at every new screen “ presented during sign up 50% of users give up and up, go elsewhere.” bron: “How will OpenID change your site?”, Blog Peter Nixey (Founder of Clickpass) • Meer bezoek bestaande klanten door gebruikersgemak • Enabler geïntegreerde diensten (service bundling) met partners 20
  21. 21. Top vijf kritische vragen • Veiligheid: het ultieme phishing target? • Hoe account linking zonder gebruik BSN? • Privacy van de consument? • Afhankelijkheid van vele Identity Provider? j y • Waarom lukt dit en eerdere initiatieven niet? 21
  22. 22. Veiligheid: het ultieme phishing target? Situatie een identiteit die herbruikbaar is bij vele online diensten is extra aantrekkelijk voor attacks Antwoord • Identity providers hebben meer geld ter beschikking d d t k t gedeeld b hikki doordat kosten d ld worden met vele partijen -> veiligere authenticatie middelen en binding mogelijk • In vergelijking met silo aanpak is er hogere expertise bij paar identity providers dan bij vele dienstverleners 22
  23. 23. Hoe H account li ki zonder gebruik BSN? t linking d b ik Situatie een klant meldt zich online, hoe zeker te weten welke interne klant identifier dit is (zonder unieke identifier a la BSN) • Situatie: een klant meldt zich online, hoe zeker te weten welke interne klant identifier dit is (zonder unieke identifier a Antwoord la BSN) Klant krijgt unieke en p • jg persistent psuedoniem van p zijn identity provider, dus probleem geldt alleen bij • Antwoord eerste bezoek • Klant krijgt unieke en persistentrijke set aan van zijn identity • Identity provider geeft psuedoniem gevalideerde provider, dus probleem(NAW, geboortedatum, attributen mee geldt alleen bij eerste bezoek geboorteplaats) • Identity provider geeft rijke set aan gevalideerde attributen mee (NAWAfhankelijk van veiligheidsniveau kan klant om • geboortedatum, (NAW, geboortedatum geboorteplaats) ‘semi’ geheim zoals klantnummer gevraagd worden. • Afhankelijk van veiligheidsniveau kan klant om ‘semi’ geheim zoals Aanvullend kan de klant op thuisadres een de klant • klantnummer gevraagd worden. Aanvullend kan brief op thuisadres een brief krijgen, een moeten terugsturen of p krijgen, een handtekening handtekening moeten jg , g terugsturen of zelf een fysieke controle. zelf een fysieke controle. 23 zie tab beeld/kop- voettekst om dit te wijzigen
  24. 24. Privacy van de consument? Situatie Introduceert dit niet een privacy probleem? Antwoord • In het trust framework worden privacy eisen gesteld aan identity providers en dienstenaanbieders • We gebruiken state-of-the-art privacy denken zoals informed consent en attributen delen (bv alleen 18+). • Consumenten kunnen kiezen voor meerdere identity providers, indien gewenst. • We introduceren geen unieke identifier 24 zie tab beeld/kop- voettekst om dit te wijzigen
  25. 25. Afhankelijkheid van vele Identity Providers? Situatie Voor de dienstverlening (continuiteit, veiligheid) is er een externe afhankelijkheid naar vele identity providers Antwoord • Er zijn strenge toelatingseisen voor identity providers, die objectief getoetst worden • Er zijn afspraken rondom SLA en veiligheid, identity providers die dit breken mogen niet yp g meer meedoen • Er zijn afspraken rondom liability 25 zie tab beeld/kop- voettekst om dit te wijzigen
  26. 26. Waarom lukt dit en eerdere initiatieven niet? Situatie Er zijn eerdere pogingen geweest om een generieke consumer identiteitsoplossing te introduceren in p g NL Antwoord • Timing: de noodzaak is nu groter: • Consumenten willen meer online dienstverlening dienstverlening, • Kostenbesparingen vragen om meer online dienstverlening • Meer cybercrime • De technologie en standaarden zijn volwassener • Aanpak: consortium aanpak vanwege realisatie dat p p g deze markt niet incrementeel zal groeien, vragers en aanbieders samen brengen en onder regie van onafhankelijke expertpartij expertpartij. 26 zie tab beeld/kop- voettekst om dit te wijzigen
  27. 27. Agenda 10:00 Opening en status cidSafe 10:20 De visie van de Rabobank 10:50 cidSafe oplossingsrichting 11:30 Pauze 11:45 Discussiesessie 12:30 Wrap-up 12:45 Lunch + netwerken 27
  28. 28. Wrap-up
  29. 29. cidSafe fase 1 afronden • Business case • Visie en uitgangspunten consolideren • Relatie overheid en eHerkenning • Behoefte en urgentie in financiële sector GO / NO GO NO-GO • Fase 2 vanaf dec 2010, mogelijke ingrediënten • Trust framework definieren • Pilot • Verbreding in financiële sector, en andere sectoren 29
  30. 30. LUNCH! http://cidsafe.novay.nl maarten.wegdam@novay.nl Blog: http://maarten wegdam name http://maarten.wegdam.name 30

×