esatus AG是一家IT服务提供商,专门从事数字和去中心化身份认证。在这篇博客中,esatus AG 首席信息官安德烈-库德拉(Andre Kudra)博士探讨了近年来最大的企业欺诈案件如何清楚地表明,没有技术验证的信任不再是一种选择。为了应对这一质疑数据,将 vLEI Authenticator 集成到 IT 系统中可以将了解你的客户(KYC)原则应用到组织之间的关系中。这样,企业就可以进行数字验证,从而降低风险,并为经济奠定基础,在这种经济中,信任不是假定的,而是经过验证的。
为什么组织数字身份早该实现?
数字协作已成为全球经济的标准。公司之间交换数据,允许合作伙伴的员工访问其平台,并授权付款。然而,有一个关键的保障措施却往往缺失:互动的另一方究竟是谁?
质疑数据来源于这样一个事实,即组织通常是通过电子邮件域名、公司徽标或人工维护的合作伙伴名单等间接信号来 "识别 "的。这些方法不可靠,容易被操纵,而且难以扩展。当企业依靠信任而不是技术进行验证时,后果是真实的,代价也是高昂的。
当信任取代验证时会发生什么?
还记得那个冒充合法供应商发送假发票,从全球最大的两家科技公司骗取超过 1 亿美元的欺诈者吗?还有一家大型汽车供应商将数千万美元汇给了假冒长期业务合作伙伴的犯罪分子?
这两则新闻都是头条新闻,但它们揭示了一个影响各种规模企业的更为恶劣的问题。欧盟知识产权局(EUIPO)和欧洲刑警组织(Europol)的一份联合报告显示,仅误导性发票和公司假冒计划每年就给欧洲公司造成超过2600万欧元的损失。虽然这一数字看起来相对较低,但这只是可见的最低数字。尽管近年来有成千上万的误导性付款请求被发现,但绝大多数都没有被举报。鉴于整个欧洲有数百万潜在目标,实际损失可能远远高于官方数字。
无论规模大小,几乎所有案件都有相同的缺陷:涉案组织的身份从未在技术上得到核实。
组织的可验证身份如何解决这个问题?
在企业系统中,用户以个人身份登录。但许多流程,如合规审计、供应商入职、数据访问或监管报告,都需要了解该人背后的组织及其在其中的正式角色。
可验证的全球法人识别编码(LEI)满足了这一需求。它是组织的数字凭证,由二十国集团(G20)管理下的合格的 vLEI 发行机构(QVI)发行。它可验证一个组织是否正式存在,以及特定个人是否被授权代表该组织行事。在 GLEIF 的 vLEI 生态系统中,所有信息都是加密安全、机器可读和可验证的。
为了在现有 IT 系统中实现这种身份认证,GLEIF 和 esatus AG 联合开发了 vLEI Authenticator。它使个人能够通过其组织及其在组织中授权角色的加密证明验证进入 IT 系统。vLEI Authenticator 可执行加密登录检查,并可像标准 IAM 组件一样集成到登录流中。不过,它是基于可验证的组织凭证,而不是传统的 SSO 机制。这标志着公司在共享数据、批准付款或进行数字交互之前,可以自动相互验证的世界迈出了第一步。简单地说,它将 "我们相信这是我们的合作伙伴 "变成了 "我们知道这是我们的合作伙伴"。
vLEI Authenticator 在实践中是如何工作的?
vLEI Authenticator 可与标准身份和访问管理平台集成。当用户或组织登录受保护系统(例如访问文档或应用程序)时,vLEI Authenticator会根据GLEIF信任框架验证vLEI凭证。只有当凭证有效时,才会允许访问。可靠性成为流程的一个属性,而不是一个假设。
企业能从这种方法中获得哪些好处?
vLEI 身份验证器可减少对传统用户名和密码的依赖,在身份验证流程中添加可验证的组织凭证,从而确保共享数据环境、供应商门户或企业应用程序等系统登录场景的安全,并带来各种好处:
目前是否已在使用该解决方案?
在 Nextcloud 演示环境中,企业成功地使用 vLEI Authenticator 验证了企业身份和员工代表企业行事的授权。只有经过验证后才能访问数据。这一过程只需几秒钟,取代了通常需要数小时或数天的人工审核。
可验证组织身份的下一步是什么?
将 GLEIF 的 vLEI、标准身份协议和现有的企业软件结合起来,可以创建一个新的数字可信身份基础设施层。未来,它可以与欧盟身份识别钱包(EUDI Wallet)等欧洲倡议相连接,使组织能够安全、一致地跨境验证其身份。这将使我们更接近一个不再需要假定信任的世界。信任将成为可验证的事实。
如果您希望对博文进行评论,请使用您的姓名来识别自己。您的姓名将显示在您的评论旁。不会公布电子邮件地址。请注意,访问讨论区或在其中发帖即表示您同意遵守GLEIF 博客政策条款,因此请仔细阅读该条款。
Andre Kudra 博士是 esatus AG 的首席信息官。 他是国际公认的自我主权身份领域的决定性人物之一。他积极塑造标准化和二十国集团(G20),包括IDunion、Trust over IP和vLEI等全球倡议。他将深厚的技术专长与对监管框架的战略理解相结合。作为一名企业家和技术领导者,他多年来一直在推动可信数字身份生态系统的发展。
