GDPR и Biometrics, они любят и ненавидят друг друга. Очень важно защищать личную информацию и еще более важно защищать конфиденциальные личные данные. Использование биометрии как меры безопасности (само по себе или как часть двухфакторной аутентификации) набирает популярность. Биометрические данные рассматриваются как конфиденциальные персональные данные, хранение которых запрещено, если вы не удовлетворены одним из нескольких строгих условий.
Почему он должен использоваться
В рамках общих правил защиты данных (ВВП) организации должны принять соответствующие меры для защиты персональных данных. Поскольку ВНП не предписывает, какие меры являются подходящими, а также для поддержки компаний, осуществляющих безопасность персональных данных, ENISA (Агентство Европейского союза по безопасности сети и информации) создало «Справочник по безопасности обработки персональных данных». В случае персональных данных с высоким уровнем риска использование двух факторов безопасности безопасности, например, один из них как биометрический, рекомендуется для контроля доступа и аутентификации. Конечно, чем больше вероятность и влияние нарушения персональных данных увеличивается, тем больше нам нужно защитить эти данные, чтобы свести к минимуму вероятность того, что риск может быть использован.
Использование паролей часто рассматривается как слабая мера защиты. Используемые пароли, полученные путем взлома, иногда становятся эксплуатируемыми и становятся доступными во всемирной паутине. Помимо использования файлов паролей, пароли могут быть взломаны путем угадывания и грубой атаки. Сложность пароля — часто обсуждаемая тема из-за недостатков, которые имеет пароль. Помимо того, что вы знаете, вы можете, конечно, использовать то, что у вас есть, например, токен или что-то, что вы, как отпечаток пальца. Комбинация токена (что-то у вас есть) и пароль (что-то вы знаете) — это комбинация, которая уже завоевала популярность, чтобы усилить аутентификацию. Тем не менее существует риск, что токены и пароль обмениваются с другими.
Поскольку биометрическая аутентификация повышает популярность и повышает надежность, эти методы будут использоваться все больше и больше. Важным в выборе биометрии является используемый метод и частота ошибок, например. возможно ли воспроизвести отпечаток пальца с сохраненной информацией и каковы показатели надежности.
Почему он не должен использоваться
Итак, как насчет плохой стороны биометрии? Это воспринимается как конфиденциальные личные данные, и поэтому вам запрещено хранить эту информацию. Вы можете хранить биометрические данные только в том случае, если вы удовлетворите одно или несколько условий, указанных в ВВП, если иное не определено вашим правительством. Имеет смысл, что биометрическая информация — это конфиденциальные личные данные, если это копия вашего отпечатка пальца, лица, радужки и т. Д. Хакеры могут получить эту информацию для воспроизведения физических характеристик.
Большинство биометрических систем не хранят идеальное трехмерное сканирование физических характеристик высокого разрешения. В основном шаблон будет распознан на вашем лице или отпечатке пальца, на картинке некоторых линий и / или точек, которые соответствуют физическим характеристикам, которые использует читатель. Эти линии и точки зашифрованы и сохранены. Как хэш, его можно использовать только одним способом. Когда вы шифруете сохраненные строки и точки, это невозможно, например, воспроизводите фактический отпечаток пальца. Итак, если вы хотите воспроизвести физические характеристики, вы должны использовать другие способы вместо взлома такой системы. Поэтому вы можете спорить, действительно ли это конфиденциальные личные данные, отображающие данные, хранящиеся этими устройствами. Показатель ВВП является четким, биометрические данные являются частью специальной категории «при обработке с использованием определенных технических средств, позволяющих уникальную идентификацию или аутентификацию физического лица».
Законодательство в Нидерландах
В нашем центре обработки данных в Амстердаме мы используем биометрические данные для отпечатков пальцев, чтобы войти в критические / чувствительные области, но разрешены ли нам на это законные основания?
GDPR позволяет государствам-членам «поддерживать или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья». В Нидерландах был введен местный закон (UAVG), в котором указывалось, что биометрические данные могут при необходимости, для аутентификации или безопасности.
Использование в центре обработки данных
Причина, по которой мы используем меры биометрической защиты, — это ограничение риска несанкционированного доступа к критической инфраструктуре и данным, таким как комнаты с волоконными и трафическими соединениями и залом данных. Поскольку мы не знаем содержание информации наших клиентов, мы обрабатываем все данные как конфиденциальные данные уровня высокого риска. По этой причине мы используем два типа аутентификации для контроля доступа. Мы используем токены и биометрические данные, поэтому невозможно ввести области, которые могут содержать критическую информацию, если вы не авторизованы (вы не можете обменять биометрическую аутентификацию). Поскольку мы должны быть в состоянии быстро избавиться от доступа, мы используем значки, поэтому без физического значка вы не можете вводить области доступа в помещение. Снять физический значок достаточно, чтобы напрямую снять авторизацию.