Comments 56
А как найти сайт компании в которую проинвестировали 70мм рублей? Или как поднять миллион долларов без сайта.
Получается покупатель верифицирует даннные Которые у него уже есть?
Об этом в Коммерсанте написано так:
Стоимость единичной идентификации данных для бизнеса в IDX варьируется от 5 до 200 руб. и зависит от объема информации и ее детализации.
Хотя всякие БКИ и так торгуют нашими персональными данными…
Leonid Filatov сайт просто не доделали еще… боевым прототипом занимались и тестовыми подключениями =) будет сайт в начале годаОбсуждение в ФБ с одним из авторов проекта
Про техническое решение мы можем строить догадки. Я оперирую только фактами, доступными из статьи Коммерсанта и попытался представить его в формате задачи, которую нужно реализовать.
Проблему централизованности при продаже персданных решает Мастерчейн (блокчейн от консорциума банков), в который входит и клиент IDX — Открытие.
Мастерчейн – это инструмент взаимодействия между участниками финансового рынка, использующий технологию распределенных реестров. Он позволяет проводить платежи в режиме онлайн, оперативно подтверждать актуальность данных о клиенте или сделке, а также быстро создавать финансовые сервисы.
Проблему перебора хешей решат через биллинг. Каждый API запрос будет стоить от 5 до 200 рублей.
Соли нет? То есть, если компания продаёт ФИО и номер телефона, я, зная ФИО, могу подобрать номер телефона?
Ладно, вариант более реалистичный. Предположим участником IDX может стать только крупный игрок ниши (как пример из онлайн-торговли — участник АКИТ, там только подача заявления (или вступление?) стоит, кажется, несколько десятков тыс. руб.). Что мешает ему стать дата-гейтом/селлером для более мелких участников инфопространства? Будет пробрасывать за маржу запросы на того же самого моего соседа став посредником.
Поправьте, если я что-то не учёл.
При взаимодействиях слабо связанных участников возникает дополнительный риск, что сотрудники компаний участников будут «подкидывать» запросы. Я наблюдал такое во время работы в сотовом операторе, когда от имени другого оператора по техническим каналам приходили запросы «пробить» абонента.
Например, если у клиента статически ип и он его обнародовал в сети (т.е. не проблема узнать кто за ним), то нельзя говорить «такой то ип заходил на сайт» без его разрешения.
Обезличенные ПД тоже попадают под закон. Наличие любого идентификатора уже должен попадать под более пристальный контроль соответствующих органов.
Тут весьма спорный момент, поскольку нужно согласие на определённый способ использование. Я не уверен, что продажа и передача с этой точки зрения тождественны.
Как мне кажется необходимо доработать закон о персональных данных несколькими важными пунктами. Первое не допускать навязывания разрешения на продажу данных ( т.е. нельзя отказывать человеку от участия в маркетинговой акции если он не согласен с целью обработки — продажа). Второе, обязать писать про продажу данных крупным, очень крупным шрифтом, на первой странице.
Вообще странно получается, я например разрешил использование данных с определённой целью включая продажу компании а, но я не разрешал их использование компании б.
По-моему, согласие на обработку персональных данных в общем случае даётся не конкретной компании, а вообще на обработку. Конкретная компания является лишь лицом, получившим согласие и могущим доказать это. При наличии у вас претензий к компании Б, она сошлётся на дачу вами согласия на обработку компании А с право предоставления их третьим лицам, включая компанию Б.
Цель «продажа», «передача» или «предоставление» в здравом уме вряд ли кто напишет, напишут, например, цель «обеспечение законных интересов третьих лиц».
Будет сюрприз, если оставил e-mail для скачивания файла, и по этому e-mail можно узнать имя, фамилию и паспорт…
Видимо надо «dob_year»: 1970.
А в целом познавательно получается.
Два. Берём базу данных — а их много и начинаем аккуратно бомбить сайт, выявляя «валидные», получая вдобавок телефон и иные данные: собираем новую базу, создаём оболочку и идём продавать.
Задумка хорошая, но не совсем понятно для чего и кого это нужно.
Два: думаю, что незаконно брать данные из незаконно утекших баз, то есть при проверке вам нужно будет предоставить согласие клиента на обработку.
Очевидно нужна для субъектов финансового рынка — верификация предоставленных клиентом данных, оценка кредитоспособности и коллекшен.
Предположим Акадо и IDX зарегистрированы, как операторы ПД. Поясните пожалуйста юридически на каком основании Акадо продает (уже?) ПД клиентов в IDX, а IDX — остальным? Номер мобильного телефона тоже является персональными данными.
«IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки»,— подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях»,— объясняет он смысл сотрудничества с IDX.
Подробнее: http://kommersant.ru/doc/3178047
Успех этой компании будет напрямую зависеть от воображения ее организаторов, качества ФЗ и работы контролирующих органов.
В статье немного неверно истолкована публикация ФРИИ и сама цель сервиса IDX.
Назначение же сервиса следующее:
IDX работает по принципу обмена информацией между компаниями-участницами проекта. Например, некоторое физическое лицо отсылает в одну из этих компаний свои данные по интернету. Если этот человек когда-либо уже предоставлял свои данные любой другой компании-участнице, и эти данные были проверены, то повторная проверка не требуется. Участники проекта просто посылают друг другу запрос на сверку данных через IDX. (публикация cnews.ru)
По цели сервиса:
Есть две компании, передающие между собой элементы ПДн (обезличенные ПДн) о своем клиенте и компания-шлюз, помогающая этот процесс организовать. Есть механика, позволяющая получать доход компании, предоставляющей верификацию обезличенных ПДн и шлюзу за посредничество.
Подскажите, где я ошибаюсь в терминологии?
В статье не совсем точные выводы. Персональные данные не передаются через площадку, а только верифицируются.
Здесь интересно следующее:
1) заявление о перспективе доступа по биометрическим параметрам пользователей. Если имеются в виду биометрические данные граждан, то здесь без поддержки государственных органов не обойтись.
2) заявление представителя ФРИИ, что сейчас «в платформу интегрированы более десяти компаний» (Коммерсантъ). Уже сказано, обработка ПД возможна только в заранее указанных целях сбора персональных данных. Если компаниями не заявлено, что ПД будут использоваться для их проверки в другими сервисами, на лицо нарушение.
ps: PR сработал на 5+: одновременный вброс в нескольких СМИ волнующей многих темы ПД и правильное название компании Identity Exchange (корректнее imho было назвать Authenticity Exchange) привлечет много внимания. Можно сказать, уже успешно заявили о себе.
Персональные данные не передаются через площадку, а только верифицируются.
Только верификация значительно снижает область применимости системы. Скорее всего, основная цель именно предоставление дополнительных данных по установочным и вариативность цены запроса тоже на это намекает.
Уже сказано, обработка ПД возможна только в заранее указанных целях сбора персональных данных. Если компаниями не заявлено, что ПД будут использоваться для их проверки в другими сервисами, на лицо нарушение.
Думаю, для кредитных организаций переключение (или дополнение) с традиционных БКИ на IDX не потребует изменений в процессах и формах, чисто технический вопрос, а юридически схема та же.
Но ведь ПД это ресурс для таргетированной рекламы, т.е. хороший такой материальный ресурс. Сложно поверить, что корпорации не будут зарабатывать, имея такую возможность. Вопрос только в том, насколько открыто это будет происходить, нет?
Мопед не мой, но у ребят из Idx тут нет аккаунтов, попросили написать.
В реальности никакой передачи ПД нет, т.к.:
1. такой задачи вообще не ставится.
2. это законодательно невозможно (учим матчасть, 152-ФЗ, ага)
IDX — он про идентификацию и верификацию, а не про продажу или обмен, автор сходу подменяет понятия и доказывает свое же ложное утверждение.
Все работает приблизительно вот так:
Пользователь обращается за получением сервиса в компанию А.
Компания А должна убедиться, что пользователь — тот, за кого себя выдает.
В простейшем случае она спрашивает его паспортные данные («фу» несолеными хешами пользоваться):
{
«personName»:"$2a$12$9N7qNh3dT82LmSCXKU5cRetvfJQLcP0iVgu4zc5DktcVmR4rTos2S",
«passportData»:"$2a$12$2k00tt1Hm3WIKpQrxsYTWuv7sqyzlDdgt4JvFpgd0D895uZU5THm."
}
Дальше Компания B, которая знает этого пользователя, получает запрос, а в ответ отдает:
{
«result»: <true|false>
}
А IDX является шлюзом, который соединяет между собой А и B.
И никаких ПД. И никакой торговли. И никакой сенсации.
Пользуясь случаем: Idx is is hiring!
Компания Idx делает крутое и удобное решение по обмену идентификацией в рунете. У нас сейчас довольно большое количество сервисов требуют строгую идентификацию пользователя, например привязку его к паспорту. В некоторых случаях это происходит из-за паранойи гос. органов(типа публичного wifi, или покупки sim карты), но в довольно большом количестве областей это оправдано(электронные платежи, электронные услуги, договора), и там и там есть огромная потребность в быстрой и безгеморройной идентификации пользователей и нет никакого системного решения.
Мы хотим следующее: сделать сервис идентификации, в который могут подключаться поставщики персональной информации(сервис gosuslugi, банки, сотовые компании, т.е. все кто видел живьем ваш паспорт) и потребители(все кому она нужна). Когда вам надо где-то идентифицироваться вас просто редиректят на Idx, там сервис находит, кто может вашу личность подтвердить, задает пару проверочных вопросов, и позволяет вам идентифицироваться без походов на почту, поездки в офис и т.п.
Как выглядит идеальный кандидат: вы full stack developer, java/spring на серверной стороне, html/css/js на клиентской. Будет очень круто если вы понимаете теорию криптографии (ну условно как создать протокол, который подтверждает обладание персональными данными, но никуда при этом эти данные не пересылает). Ну и вы вообще вменяемый и профессиональный человек.
Денег на старт 200-250 тыс. рублей.
Писать можно Светлана Белова <sbelova at iidf ru>
Please RT.
От себя добавлю: задача не новая, Яндекс.Деньги много лет назад умели авторизовывать аккаунты через банки-партнеры. Просто это было внутреннее решение Яндекса, а не платформа, сейчас люди решили просто написать такую систему доступную любой компании на рынке.
И еще тут не zero knowledge proof в его чистом виде, а zero knowledge proof of knowledge aka proof of knowledge это сильно более простая штука, журналисты немного опять неточно написали.
Компания А должна убедиться, что пользователь — тот, за кого себя выдает.
Это ни верификация, ни идентификация, а аутентификация по сути.
Идентификация — пользователь сообщает кто он (ФИО, логин, сертификат и т. д.)
Аутентификация — пользователь подтверждает, что это он (пароль, эл. подпись, доступ к определенным девайсам типа сим-карты или юсб-ключа и т. п.)
Верификация — проверка предоставленных пользователем других, не идентификационных данных.
Не очень понятно вот это: «задает пару проверочных вопросов» — далеко не все компании, которые видели живьём мой паспорт, могут аутентифицировать меня без показа паспорта ещё раз — у них только мои паспортные данные и данные по договору с ними, то есть в принципе данные не тайные, для аутентификации не годящиеся. А те, что могут (пароли в ЛК, секретные кодовые слова, знание номера телефона для отправки смс), во-первых не имеют права их расшаривать, а во-вторых я сам не буду их вводить на стороннем ресурсе, поскольку по сути этим я предоставляю этому ресурсу полный доступ к своему аккаунту, например в ЛК банка со своими счетами и банк будет считать действия с этими данными совершенными мною.
Для аутентификации нужна какая-то другая схема, ответы на вопросы типа «ваш пароль», «кодовое слово», «введите код из СМС» я должен вводить на ресурсе того, кто их знает. Так, например, действует подобный украинский сервис:
— на каком-то сайте я хочу аутентифицироваться
— перехожу на страницу аутентификации сервиса и выбираю кого-то из провайдеров, которые могут меня аутентифицировать, например, банк, в котором у меня есть ЛК
— меня редиректит на сайт банка, там я прохожу стандартную процедуру аутентификации этого банка, потом меня редиректит на исходный сайт, а он получает от банка информацию о том, кто я.
Я подозреваю термин идентификация тут из закона, а не учебника по компьютерной безопасности.
Код из sms имхо вполне тянет на формулировку "проверочный вопрос".
Суть в том, что аутентифицируюсь/идентифицируюсь я на ресурсе, который видел мой паспорт и с которым мы договорились о секретных данных (провайдере), а не на ресурсе-посреднике. Провайдер лишь сообщает посреднику «да, мы видели паспорт этого человека раньше и сейчас он удостоверил свою личность сообщив нам то, что знаем только мы и он». Посредник же в лучшем случае знает (вплоть до сертифицировал) только механизм, которым я удостоверил свою личность, но ни я, ни провайдер не должны ему раскрывать наши секреты.
Как будет продавать ваши персональные данные стартап, в который вложил 70м рублей ФРИИ