تريد هذه الشركة الناشئة التحقق من هويتك دون تخزين بياناتك الشخصية

مع ابتعاد الخدمات الحكومية والمصرفية عن التحقق من الهويات في العالم الحقيقي، والانتقال نحو التحقق من الهوية عبر الإنترنت، دخلت العديد من الشركات السوق لحل هذه المشكلة. تدخل شركة ناشئة جديدة من فرنسا السوق بحل من شأنه، من الناحية النظرية، حماية خصوصية الأشخاص.

وصفت المتحدثة باسم ShareID إليانا دعبول الشركة في رسالة بريد إلكتروني بأنها “حل مصادقة كخدمة مرتبط ببطاقات الهوية الصادرة عن الحكومة”.

والتطور هو أنه، على عكس الشركات المماثلة الأخرى، تدعي ShareID أنها لا تخزن أي بيانات شخصية. وبدلاً من ذلك، وفقًا لسارة سبتي، الرئيس التنفيذي لشركة ShareID، تطلب الشركة من المستخدمين إرسال مقطع فيديو لإثبات “حياتهم” – وهي كلمة فاخرة تعني أنه يتعين على المستخدم إثبات أنه شخص حقيقي أمام كاميرا هاتفه، وهي ليست شرطًا مسبقًا. -فيديو مسجل – وصورة لبطاقة هويتهم الحكومية. لكن ShareID يقول إنه لا يخزن هذه البيانات، بل يحتفظ بها في الذاكرة على خوادمه وينشئ تجزئة – معرفًا فريدًا – ثم يمسح البيانات، والتي لم يتم تخزينها فعليًا على الخوادم.

شركات أخرى تستخدم نهجا مختلفا.

في الولايات المتحدة، يقول موقع ID.me المثير للجدل على موقعه الرسمي على الإنترنت إنه “قد يحتفظ بمعلوماتك البيومترية لمدة تصل إلى ستة وثلاثين شهرًا”، ويشمل ذلك “صور السيلفي والمعلومات البيومترية المرتبطة بها”. حصلت شركة ID.me على عقود حكومية – كما هو الحال مع مصلحة الضرائب الأمريكية – لكنها تعرضت لانتقادات من قبل أعضاء الكونجرس الأمريكي، الذين قالوا إن الشركة شوهت كيفية عمل التكنولوجيا الخاصة بها وضخمت التقديرات حول الاحتيال لزيادة الطلب على خدماتها. (ونفت الشركة هذه الاتهامات).

CLEAR، وهي شركة أمنية بيومترية موجودة في المطارات والملاعب في جميع أنحاء الولايات المتحدة، تنص في سياسة الخصوصية الخاصة بها على أنها تحصل على معلومات مثل “معلومات التعريف الصادرة عن الحكومة” و”الصور ومقاطع الفيديو الرقمية (مثل الصور من جهازك المحمول” الكاميرا)” و”البيانات البيومترية (مثل الصور الرقمية لبصمات الأصابع وقزحية العين والوجه).

وتقول الشركة إنها تحتفظ بهذا النوع من المعلومات، في حالة المستخدمين في كاليفورنيا، طوال مدة حساب CLEAR. في حالة المستخدمين الكنديين، تقول الشركة إنها “ستحتفظ بالبيانات البيومترية والمعلومات الشخصية الأخرى فقط حتى حدوث أول مما يلي: (أ) تم استيفاء الغرض الأولي من جمع هذه البيانات أو الحصول عليها أو (ب) بعد مرور ثلاث سنوات على آخر تفاعل لك مع CLEAR (ما لم تطلب إغلاق حسابك مبكرًا).”

من ناحية أخرى، يريد ShareID الاحتفاظ بأقل قدر ممكن من المعلومات، ولأقصر فترة ممكنة.

“نحن نصدر هويات قابلة لإعادة الاستخدام لمستخدمينا، ونتخلص من جميع البيانات الشخصية التي حصلنا عليها. قال سبتي لـ TechCrunch، في إشارة إلى تقنية التشفير التي تسمح بإنشاء قيمة فريدة من مجموعة من البيانات، ويجعل من المستحيل: عكس ذلك للحصول على البيانات الأصلية.

وأوضح سبتي أنه من الناحية العملية، يتمتع عملاء ShareID بإمكانية الوصول إلى SDK وواجهة برمجة التطبيقات التي تسمح لهم بتضمين تكنولوجيا الشركة على موقعهم الإلكتروني، بالإضافة إلى تطبيق Android أو iOS الخاص بهم. وقال سبتي إن الشخص الذي يحاول المصادقة سيتعين عليه تقديم مقطع فيديو يظهر الجزء الأمامي من المستند لمدة ثلاث ثوانٍ، والجزء الخلفي من المستند لمدة ثلاث ثوانٍ أخرى. بعد ذلك، سيقوم موقع الويب أو التطبيق بالتقاط مقطع فيديو لوجه الشخص، ويطلب منه تنفيذ التحديات لإثبات أنه يقوم بالفعل بتسجيله مباشرة، مثل الابتسام، وإمالة وجهه إلى اليسار أو اليمين، ومتابعة نقطة على الشاشة. الذي يتم إنشاء موقفه بشكل عشوائي.

“لديك نقطة عشوائية يتم تشغيلها على شاشتك وعليك أن تتبعها بعينيك، وليس لديك أدنى فكرة عن مكانها. قال سبتي: “لذلك لا يمكنك إعداد الفيديو للدخول فيه”.

عند هذه النقطة، تقوم الخدمة بمعالجة هذه البيانات وإنشاء تجزئة متجانسة يمكن استخدامها لإعادة مصادقة المستخدم عند عودته.

على الأقل، هذا ما يدعي ShareID. وقال سبتي إن الشرطة العسكرية الفرنسية قامت بمراجعة أمن الشركة، وأنها تراقب أمنها عن طريق إجراء اختبارات الاختراق، أو “Pentests”، و”المراقبة الأمنية المباشرة الأخرى”.