Как будет продавать ваши персональные данные стартап, в который вложил 70м рублей ФРИИ

в 20:35, , рубрики: IDX, ZKP, информационная безопасность, персональные данные

В Коммерсант вышел материал об инвестиции государственным фондом ФРИИ 70 миллионов рублей в стартап IDX (Identity Exchange). Миссия стартапа — создание площадки для продажи персональной информации о физических и юридических лицах. Разберемся в том, что предлагает IDX.

Как будет продавать ваши персональные данные стартап, в который вложил 70м рублей ФРИИ - 1

Суть сервиса в том, что компания-партнер IDX, которой пользователь однажды уже передал свои данные, может верифицировать их достоверность по запросу другой организации. При этом IDX не передает между партнерами сами данные, а производит сверку цифровых подписей и хэшей зашифрованных сведений.

Клиент проходит процедуру идентификации, например, при личном визите в офис. Компания поставщик данных для IDX (далее «компания А») продает информацию о пройденной идентификации другим участникам рынка.

«IDX устроен как шлюз, там нет персональных данных, значит, нет и рисков их утечки»,— подтверждает директор по эксплуатации «Акадо Телеком» Михаил Медриш. «Мы можем участвовать в проекте как поставщик информации о достоверности данных и сами заинтересованы в услугах, поскольку наши потенциальные клиенты могут быть уже идентифицированы в других сетях»,— объясняет он смысл сотрудничества с IDX.

Акадо является поставщиком информации для IDX о своих клиентах, компанией А.

Риск утечки данных при использовании системы сведен к нулю, утверждает представитель ФРИИ. В основе платформы лежит математический метод «доказательства с нулевым разглашением» (Zero-knowledge proof), использование которого позволяет убедиться в достоверности полученной информации без ее расшифровки, пояснил он.

Рассмотрим процесс продажи компанией А персональных данных клиента с использованием шлюза IDX. Предположим структуру профиля пользователя:

{
  "passport":12345,
  "first_name": "Igor",
  "last_name": "Barinov",
  "dob_day": 1970,
  "dob_month":01,
  "dob_day":01,
  "active": true
}

Компания Б, запрашивающая информацию, формирует группы атрибутов по интересующему клиенту, хеширует их и отправляет через шлюз IDX всем участникам, продающим персональные данные.

Пример запрашиваемой информации:

hash(passport+first_name+last_name+dob_year+dob_month+dob_day).

Подставим значения из структуры:

sha2(12345IgorBarinov19700101)

Получаем хеш:

f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661

Компания А, обладающая сведениями о клиенте, подтверждает наличие записи и возвращает в ответе метаданные, которые с ФИО и паспортом будут являться частью персональных данных, но в случае ZKP (Zero Knowledge Proofs) — нет.
Например,

{"request":"f3d34b680defecbc9e1916faed596aedde723289c21b3c671952239f81437661",
"dead":false,
"phone_number":"5555555555"
}

и подписывает структуру своим приватным ключом. Шлюз IDX переправляет ответ продавца персональных данных покупателю персональных данных и учитывает факт сделки. Покупатель данных проверяет публичным ключом целостность сообщения и адресата. Биллинг IDX списывает с баланса покупателя персональных данных оплату продавцу персональных данных и комиссию.

Краткие выводы:
— используя скрытие данные в хешированных структурах, стартап IDX организует площадку по торговле персональными данными.
— государственный фонд финансирует компанию, организующую такую площадку
— зная персональные данные пользователя, третье лицо может легально получить данные и метаданные по всем используемым пользователем сервисам, чьи провайдеры продают персональную информацию через шлюз IDX

Disclaimer: автор не имеет отношения к компании IDX, Акадо, ФРИИ и соображения о принципах работы основаны на OSINT (открытых данных).

Автор: igorbarinov

Источник

Поделиться

* - обязательные к заполнению поля