新西兰数字身份的新规则和认证系统将于 11 月 8 日星期五生效,届时数字身份服务信任框架 (DISTF) 生效。
一个专门针对信任框架内务部网站上列出了数字身份证的好处、如何使用以及投诉流程。它显示了识别可信服务提供商的认证标志,并列出了框架背后的关键概念和原则。
这建立信托框架的法律去年三月通过的法案旨在规范在线和离线互动的数字身份证的发行和使用。该立法于 7 月 1 日生效,新西兰数字身份执行董事 Colin Wallis 表示,为了让该计划为新西兰人服务,需要“一个大块的数字身份服务提供商。”
数字化政府部长朱迪思·柯林斯 (Judith Collins) 在宣布推出信任框架时指出,它还为未来推出移动驾驶执照、银行身份证或行业认证奠定了基础。
新西兰的数字身份服务信任框架规定,数字身份服务是在选择加入的基础上提供的,要求用户同意对其数字身份的任何使用,并规定个人和组织数据不存储在中央数据库中。相反,该系统使用分散模型,用户通过请求访问或共享信息来启动每笔交易。
数字身份服务认证申请已向信任框架管理局提交,预计将于今年年底前提供。评估考虑了提供商的运营能力、对身份管理标准的遵守情况、隐私保护和安全性。根据目前的提议,管理局授予的信任标记将在三年后到期。
对于有兴趣完成认证流程的提供商,该页面上还提供了信息。然而,在新西兰销售数字身份服务并不强制要求获得认证。
该框架的身份验证保证标准于 10 月 1 日生效,规定了四个级别的身份验证保证 (LoAA) 以及每个级别的要求。依赖方需要评估其服务带来的身份验证风险,以确定他们必须满足哪个级别。
前两个级别的要求适中,但第三级需要多因素身份验证,第四级要求多个因素之一是生物识别。无论使用哪种身份验证方法,连续 30 次身份验证失败都必须触发帐户的封锁并由依赖方进行调查。依赖方还必须为人们提供一种方法来报告受损的身份验证器,并在使用生物识别作为身份验证器但未受到演示攻击检测保护的情况下注销用户。
该框架还包括身份绑定、验证器生命周期和知识验证因素限制的规则。
生物识别技术必须配备符合 ISO/IEC 30107-3 生物识别演示攻击检测标准的活性软件,并能有效抵御 90% 的攻击。
生物特征认证系统的误报率还必须低于 0.01%。
DIA 还为身份服务提供商提供了模板和指南页面,预计很快就会发布。
