Aquí os dejo una traducción automática, pero currada, hecha en deepl.com, revisada – aunque falta un repaso – del material con el que en el 2019 los tecnomalthusianos fijaron criterios sobre la identificación digital global y sobre su proyecto de monopolización global del negocio de la identificación digital. Muchisísimas ventajas…
Despliegue inclusivo de Blockchain para las cadenas de suministro Parte 2 – Verificación fiable de las identidades digitales / Inclusive Deployment of Blockchain for Supply Chains Part 2 – Trustworthy verification of digital identities
Libro Blanco
Despliegue inclusivo de Blockchain para las cadenas de suministro
Parte 2 – Verificación fiable de las identidades digitales
Abril de 2019
Contenido
Prefacio
Introducción
- Verificación fiable de la identidad en las cadenas de suministro mundiales
- Por qué es importante: el panorama de la de la identidad digital
- ¿Qué es una identidad digital?
- Elegir entre tres arquetipos: “Centralizada”, “Federada”, “Descentralizada”
- Cómo determinar el arquetipo adecuado
- Consideraciones reglamentarias y legales
- Diseño de sistemas de identidad para las futuras cadenas de suministro
- Principios de los sistemas de identidad para las futuras cadenas de suministro
- Propuesta de modelo de identidad digital para futuras cadenas de suministro
- Confianza entre gobiernos
- Confianza entre empresas y gobiernos
- Confianza entre empresas
- Próximos pasos
Apéndice 1: Funcionamiento de un modelo de identidad descentralizado
Credenciales verificables en identidades descentralizadas
Identificación de una entidad jurídica
- Glosario
Colaboradores
Notas finales
Prefacio
Las cadenas de suministro son cada vez más digitales. Un requisito central de estas redes empresariales digitales es la capacidad de utilizar eficazmente a los socios de forma fiable. Por ello, las organizaciones
necesitan un sistema integral para la verificación y gestión de las identidades empresariales digitales que sea
que sea dinámico y digno de confianza.
A pesar de las recientes mejoras en los sistemas de verificación de la identidad digital, estos necesitan un mayor desarrollo para apoyar las cadenas de suministro del futuro. Es probable que las nuevas exigencias sobre las identidades digitales de las personas jurídicas y posibilidades para las organizaciones de la cadena de suministro probablemente serán introducidas por la Cuarta Revolución Industrial – con los cambios permitidos por el internet de las cosas (IoT), la inteligencia artificial (AI) y, en particular, la tecnología de libro mayor distribuido. El ritmo de desarrollo es más rápido que nunca, y los responsables de la toma de decisiones deben reevaluar los sistemas que tienen para gestionar las identidades digitales.
Este documento avanza en dos temas identificados por el Foro Económico Mundial:
1. Este es el segundo libro blanco de una serie y forma parte de un proyecto más amplio centrado en la cocreación de nuevas herramientas y marcos para dar forma al despliegue de la tecnología de libro mayor distribuido en las cadenas de suministro hacia la interoperabilidad, la integridad y la inclusión. El Centro del Foro Económico Mundial para la Cuarta Revolución Industrial está trabajando con un grupo de múltiples partes interesadas para producir un proyecto que incluye:
– Una serie de libros blancos publicados en 2019. Colectivamente e individualmente, estos documentos ofrecerán consideraciones específicas para los responsables de la toma de decisiones a la hora de aprovechar la tecnología blockchain de forma eficaz.
– Un kit de herramientas conciso y fácil de usar que se publicará a finales de 2019 y que cubrirá temas importantes que los tomadores de decisiones de la cadena de suministro deben tener en cuenta para el despliegue responsable de blockchain.
2. Contribuye al desarrollo continuo de la comprensión y el despliegue de “buenas
identidades digitales” para la Cuarta Revolución Industrial.
A medida que las interacciones comerciales digitales fluyen a través de las fronteras en las cadenas de suministro internacionales, habrá muchos casos en los que las partes no se conocen entre sí antes de llevar a cabo negocios juntos. Esperamos que la siguiente visión general de las oportunidades, los riesgos y algunos de los próximos pasos sugeridos estimulen a las partes interesadas a embarcarse en una nueva e interesante agenda de acción para construir sistemas de identidad digital que estén preparados para las futuras cadenas de suministro.
Introducción
La identidad digital garantiza la integridad en la conexión del mundo físico y digital. En las transacciones de la cadena de suministro digital global de la cadena de suministro, es esencial que una entidad legal demuestre su propia identidad y comprobar las de otras partes, cada una de las cuales requiere una identidad digital única, verificable y auténtica.
Aunque este documento puede leerse solo, no introduce conceptos básicos de blockchain. Esto se trata en el primer libro blanco del del Foro Económico Mundial de esta serie. para una mayor referencia, véase Inclusive Deployment of Blockchain for Supply Chains: Parte 1 – introducción, abril de 2019. El primer libro blanco
cubre temas como los conceptos básicos de blockchain, las características de blockchain características que resultan atractivas para las soluciones de la cadena de suministro y las conclusiones sobre las preocupaciones que tienen los actores de la cadena de suministro para el despliegue de la tecnología blockchain, incluida la preocupación por la gestión de identidades digitales fiables que ha dado lugar a este documento.
Por lo tanto, este libro blanco explora las consideraciones principios propuestos y recomendaciones para las organizaciones de la cadena de suministro y los gobiernos en la gestión de la creciente complejidad de las identidades digitales de las personas jurídicas que participan en el comercio mundial.
Descentralización
Las nuevas tecnologías y los avances actuales de la informática están proporcionan nuevos paradigmas para entender cómo organizaciones pueden colaborar sin depender de un intermediario de confianza y pueden aportar cambios transformadores.
Las tecnologías de libro mayor descentralizado, como blockchain, están transfiriendo la autoridad, el riesgo y la recompensa – de definir y aplicar las normas del sistema y el mantenimiento de registros de una entidad central a un grupo de entidades de las que ninguna tiene poder de control. 1
Las transacciones y sus detalles se registran en múltiples lugares al mismo tiempo, sin una base de datos central o administrador. 2
El documento investiga las posibilidades que permite una Identidad Comercial Global 4 (GTID) para las entidades legales que participan en las cadenas de suministro mundiales. La intención es que la GTID se utilice para cualquier interacción comercial en las cadenas de suministro mundiales y permita a cualquier socio de la cadena de suministro validar dinámicamente la fiabilidad de una entidad jurídica con la que se va a participar en una interacción comercial. El documento sugiere que un GTID es un requisito previo para la digitalización eficiente de las cadenas de de suministro global y apoya la creciente atención de la era digital en la optimización del entorno de la empresa en lugar de la optimización centrada en la organización. La aparición de sistemas de identidad descentralizados supone una oportunidad única para organizaciones de la cadena de suministro global y los gobiernos para crear sistemas de GTID que se adapten a las futuras interacciones de la cadena de suministro.
El documento también destaca que los sistemas de identidad descentralizados aún no están listos para su uso generalizado debido a los retos empresariales, normativos y tecnológicos. de negocios, reglamentarios y tecnológicos, pero tanto el sector público como el público-privado como el privado pueden posicionarse ya para el éxito futuro.
Aunque blockchain es un tipo de tecnología de libro mayor distribuido, para simplificar, el término se utiliza indistintamente en este documento para cubrir todos los tipos de tecnologías de libro mayor distribuido.
Otras definiciones relacionadas con este documento se encuentran en el glosario.
Cuestiones de confianza
La tecnología en la que se basa el GTID es la base para permitir la validación dinámica de la confianza a nivel mundial, pero hay muchas otras consideraciones no técnicas que contribuyen a la fiabilidad de una entidad, incluidos los procedimientos para emitir y probar las identidades, cómo se aseguran los sistemas de TI, cómo se gestionan las empresas, la ética y la cultura de la empresa, etc. Estos factores quedan fuera del ámbito de este documento.
Verificación fiable de la identidad en las cadenas de suministro mundiales
Las cadenas de suministro mundiales abarcan las fronteras nacionales e implican empresas de diferentes sectores; los actores deben trabajar colaboración para optimizar el flujo de bienes físicos, información y transacciones financieras. La identidad y la garantía de confianza se encuentran en el centro de cada una de estas interacciones.
Las organizaciones de la cadena de suministro deben conocer y confiar en cada actor de la cadena de suministro, necesitan conocer y confiar en cada socio con el que se relacionan, antes de ofrecer servicios digitales o acceso a recursos. Las organizaciones necesitan asegurarse de que están tratando con la entidad correcta y conectando eficientemente con una identidad digital y una organización real, y lo que es más importante, evaluar la fiabilidad de una entidad legal de interés. Este proceso de verificación dinámica de las contrapartes
– gestión y verificación de la identidad digital – es un paso crítico en el establecimiento de la confianza y la garantía para las organizaciones que participan en las transacciones de la cadena de suministro digital.
Por qué es importante: el panorama de la identidad digital
Para preparar la cadena de suministro de su organización para las complejidades de un mundo cada vez más digital y la adopción de tecnologías emergentes como blockchain, este documento anima a los gobiernos, las organizaciones y la industria de la cadena de suministro a revisar las posibilidades de las nuevas tecnologías emergentes y una GTID digital.
El estado actual de la gestión de identidades consiste en procesos manuales ineficientes que podrían beneficiarse de las nuevas tecnologías y arquitectura para apoyar el crecimiento digital. A medida que el número de servicios, transacciones y entidades digitales aumente, será cada vez más importante garantizar que las transacciones tengan lugar en una red segura y de confianza en la que cada entidad pueda ser identificada y autenticada dinámicamente.6
En la actualidad, la mayoría de los sistemas de identidad existen de forma aislada. Diferentes soluciones públicas y privadas registran y mantienen idénticos datos de identidad potencialmente cientos de veces, y no son interoperables, creando una cantidad significativa de información de identidad redundante. Esto supone un desperdicio de recursos para la red en cuestión, que es difícil de escalar, está enterrada en procesos propensos a errores y emplea mucho papel 6
Figura 1: La gestión de la identidad, que hoy está aislada, mañana avanza hacia la descentralización
Además, queda la necesidad de una GTID robusta y escalable de las tecnologías de la cuarta revolución industrial. A medida que tecnologías como blockchain, internet de las cosas (IoT) y la inteligencia artificial (IA) hacen avanzar las cadenas de suministro, los sistemas por los que las organizaciones verifican la identidad también deben hacerlo. Por ejemplo, las capacidades de blockchain significan que algunas futuras transacciones de la cadena de suministro y los procesos empresariales tienen ser manejados por agentes de software autónomos (ASA) e IoT, que interactúan dinámicamente con varias partes en nombre de las entidades legales, poniendo así mayor énfasis en la verificación de las identidades.
La era de los negocios digitales requiere que las empresas se replanteen muchos aspectos de sus modelos de negocio. Varias empresas de cadenas de suministro globales han trasladado su enfoque de digitalización hacia las redes empresariales de las que forman parte. Una GTID debería permitir la verificación de la identidad que puede ser más eficiente, escalable y sostenible y, por lo tanto, apoyar la optimización digital de las redes empresariales.
Con la adopción de las nuevas tecnologías de descentralización de la identidad descentralizada -una tecnología naciente que se examina con más detalle más adelante en el documento- existe el potencial de una tecnología que apoye una GTID sin dar poder a un administrador centralizado.
Las identidades digitales fiables de las personas jurídicas son un tema de las organizaciones comerciales internacionales y de los gobiernos, incluyendo:
– Los gobiernos de Bélgica, Dinamarca, Azerbaiyán y gobiernos locales como el de Columbia Británica y Columbia Británica y Ontario, así como la iniciativa iniciativa eIDAS de la Unión Europea
– Las Naciones Unidas (por ejemplo, la Comisión Económica y Comisión Social para Asia y el Pacífico [ESCAP] y Comisión de las Naciones Unidas para el Derecho Mercantil Internacional [CNUDMI]), y la colaboración público-privada del Foro Económico Mundial sobre el buen avance, centrado en usuario, de la identidad digital.
– Organizaciones privadas como Alastria, que se centra en países de habla hispana
¿Qué es una identidad digital?
La identidad digital es una representación única de una persona jurídica
que participa en una transacción en línea. 8 Permite las interacciones y la confianza entre entidades al proporcionar información vital información vital sobre la entidad, asegurando que existe en el mundo real. en el mundo real. 9
En este documento utilizamos el término prueba de existencia para cubrir cualquier información electrónica que pueda documentar que una entidad es una entidad legal bajo una jurisdicción específica. Las herramientas de identidad digital pueden utilizarse para otros fines, como para autorización y suministro de información (por ejemplo, licencias de exportación o la certificación C-TPAT) más allá de la simple autenticación de la identidad de una entidad legal. de la identidad de una persona jurídica. 10
Este documento se centra en el negocio digital entre empresas (B2B), empresa a gobierno (B2G) y gobierno a gobierno (G2G), y por lo tanto no cubre las interacciones no cubre las relaciones individuales o de ciudadano a ciudadano ni las consideraciones, requisitos y soluciones sobre la identidad digital. En cambio, si brevemente la relación entre empleados y empresas, pero el documento se centra en las personas jurídicas.
Prueba de existencia
En el contexto de la identidad, una “prueba de existencia”, en su forma más sencilla, es una manera de demostrar que una entidad existe. En este documento, la “prueba de existencia” abarca cualquier información que pueda documentar que una entidad es una entidad legal legal bajo una jurisdicción específica. No es necesario que exista una prueba de existencia. Sin embargo, si algún país emite algún tipo de prueba digital o física de de constitución (la constitución es el proceso legal utilizado para formar una entidad corporativa o una empresa), debería utilizarse como prueba de existencia. En muchos países las instituciones financieras se utilizan como la parte de confianza que confirma la validez de una prueba física de constitución, y emite una identidad digital. El grado de confianza que una entidad puede depositar en dicha prueba depende de cada entidad.
Tenga en cuenta que las identidades digitales emitidas en un país no constituyen por sí mismas una GTID; sin embargo, pueden ser utilizarse como prueba de existencia para obtener un GTID.
Esto también significa que las identidades digitales internas para las empresas y las autoridades públicas no son un requisito para la participación de un país en el comercio sin papel. Siempre y cuando un tercero de confianza pueda convertir la prueba física de de constitución en una prueba digital de existencia, ésta puede utilizarse para obtener un GTID.
Identificador digital 11
Un identificador digital es uno o varios atributos que caracterizan caracterizan una entidad en un contexto específico. Se utiliza como clave para que las partes se pongan de acuerdo sobre la entidad que se representada.
Además de participar con entidades legales, también hay otros tipos de actores que participan en las interacciones comerciales en las futuras soluciones de la cadena de suministro digital y que, por tanto, necesitan ser identificados como dignos de confianza:
– Las autoridades públicas que firman documentos, presentan eventos sobre actividades y realizan acuerdos/transacciones, emiten certificados, permisos, licencias, etc. Las autoridades públicas actúan en nombre de los gobiernos y son casos especiales en cuanto a su condición de entidades jurídicas; debido a su papel en el comercio mundial, se tratan por separado en este documento.
– Los empleados que siempre actúan en nombre de una entidad jurídica. Por lo tanto, la identidad de un empleado debe ser rastreable a la entidad jurídica que el empleado representa. Esto también incluye el concepto de agentes registrados individuales que reciben y firman documentos legales oficiales en nombre de una empresa.
– Agentes informáticos autónomos (ASA) que actúan en de una persona jurídica o de una autoridad pública. Esto requiere identificación del agente de software autónomo, así como de la entidad jurídica para la que actúa.
– Objetos físicos que interactúan activa o pasivamente con objetos físicos que interactúan activa o pasivamente con los agentes de la cadena de suministro entidad jurídica – habilitados por la IO y otros protocolos para participar o indirectamente en una interacción comercial. La Iniciativa Mobility Open Blockchain (MOBI) sobre la identificación de vehículos es un ejemplo de un identificador digital global para los vehículos participantes. 12
Elegir entre tres arquetipos
Los sistemas de identidad disponibles pueden clasificarse en tres arquetipos: centralizados, federados y descentralizados. Como sus nombres indican, son sus estructuras fundamentales las que los diferencian, con implicaciones para los niveles de adopción y los niveles de confianza, así como las ventajas y los retos para las entidades digitales. Para más detalles, véase el informe del Foro Económico Mundial Forum report publicado el 28 de septiembre de 2018: Identidad en un Digital World: Un nuevo capítulo en el contrato social.
Centralizado
En un sistema de identidad centralizado, el proveedor de un servicio digital (el proveedor de servicios, como la Ventanilla Única de un gobierno, una plataforma digital o una aplicación empresarial). establece y gestiona las identidades de los consumidores de servicios digitales (consumidor de servicios) y los datos relacionados en sus sistemas.
En la actualidad, las identidades digitales se gestionan mayoritariamente de forma centralizada, en arquitecturas aisladas. Una persona jurídica suele tener que demostrar a sí misma ante cada proveedor de servicios para crear su identidad digital. En este sistema, el consumidor de servicios no tiene casi ninguna capacidad de gestionar sus propias identidades y atributos y los atributos relacionados, y debe acatar los términos y condiciones del proveedor de condiciones del proveedor de servicios para establecer y mantener su identidad digital. Debe confiar en los procesos del proveedor de servicios y confiar en que el proveedor de servicios puede gestionar su identidad de forma segura, lo que impone obligaciones al proveedor de servicios y requiere inversión.
El proveedor de servicios garantiza la identidad de los participantes en la red participantes de la red, actuando así como un tercero central que facilita la confianza entre entidades que de otro modo serían desconocidas.
En una red empresarial en la que los actores de la cadena de suministro interactúan con múltiples servicios digitales, estos actores necesitan repetir las actividades de registro para cualquier servicio digital que pretendan utilizar. Por ejemplo, si un cargador/exportador utiliza su proveedor logístico externo para la gestión de la documentación de documentación, realiza el transporte marítimo de una vía comercial con ZIM, que utiliza la solución de conocimiento de embarque basada en blockchain de Wave, y despliega la solución de conocimiento de embarque basada en blockchain de CargoX para todas las demás rutas comerciales, debería repetir el proceso del proceso de identidad en todos los proveedores de soluciones.
Esto es engorroso, ya que requiere expertos en identidad y seguridad de identidad y seguridad en todos los procesos y entidades, y la duplicación de trabajo en cada proveedor de servicios. Manejar la confianza varias veces en todas las soluciones de la cadena de suministro supone unos costes generales ocultos en la cadena de suministro.
Hoy en día, los sistemas de identidad centralizados están maduros, con normas y procesos bien definidos, y probablemente por eso estándares y procesos bien definidos, y esta es probablemente la razón por la que los proveedores actuales de soluciones blockchain dependen en su mayoría de sistemas de identidad centralizados.
Federada
El concepto de identidad federada es probablemente más conocido en el espacio del consumidor, donde, por ejemplo, las identidades de Facebook y Google son de confianza para muchas aplicaciones a través de protocolos estandarizados.
Las soluciones de identidad federada han surgido para reducir la carga de registrar las identidades digitales en cada proveedor de proveedor de servicios. En un sistema federado, dos o más propietarios del sistema centralizado establecen una confianza mutua, ya sea distribuyendo de prueba y confianza o reconociendo mutuamente los estándares de prueba y confianza de cada uno. Como resultado el papel de la identidad se comparte entre múltiples instituciones y permite la confianza de dominio a dominio (Figura 3). Sin embargo, la mayoría de de estos servicios de identidad federados siguen dependiendo de un sistema central para establecer y mantener la confianza.
Por ejemplo, para muchos cargadores y operadores logísticos que intentan planificar cadenas de suministro rentables y eficientes en el tiempo la falta de visibilidad es un verdadero obstáculo. La International Port Community System Association (IPCSA) ha creado un Red de Redes de Confianza, que permite a los Port Community (PCS) confíen los unos en los otros, basándose en la autenticación de un PCS distinto para identificar a un nuevo usuario.
La infraestructura de seguimiento de IPCSA permite recibir información no sólo de los PCS de la región, sino globalmente de otros PCS. 13
Ejemplos de sistemas privados de identificación federada en Europa son Mobile ID y Smart ID en Estonia, Bélgica y Azerbaiyán. Ambos sistemas han sido creados creados por consorcios de los principales bancos, operadores de otros participantes en el mercado. La República de Azerbaiyán también ha establecido una federación entre su identidad digital y Alibaba y Amazon, lo que permite a cualquier persona con de Azerbaiyán pueda acceder inmediatamente a los servicios de Alibaba y servicios de Alibaba y Amazon.
Descentralizado
Las soluciones de identidad descentralizada han surgido para abordar el problema de que terceros gestionen la identidad de una empresa de una empresa o de un gobierno. Todavía se considera un sistema de identidad nuevo y sistema de identidad emergente, y todavía tiene que madurar en muchos áreas, ya que todavía no existen sistemas en producción dentro del comercio. Los mecanismos detallados de la identidad descentralizada se describen con más detalle en el Apéndice 1.
En una infraestructura de identidad descentralizada, las personas jurídicas tienen una identidad digital autogestionada e independiente de los proveedores de de los proveedores de servicios individuales, rompiendo así el aislamiento de identidad existente.
Esto permite a cada entidad jurídica gestionar su identidad, sus credenciales credenciales verificables y su uso a lo largo de las cadenas de cadenas de suministro globales.
Una credencial es una pieza de información que una organización (el emisor de la credencial) tiene sobre una entidad: por ejemplo, Operador Económico Operador Económico, licencia de exportación, licencia de transitario licencia de agente de aduanas, autorización para emitir un certificado de origen, etc. Una credencial verificable está firmada digitalmente por el emisor de la credencial e incluye un mecanismo para verificar dinámicamente la validez de la credencial (véase el Apéndice 1).
La emisión de credenciales estandarizadas, resistentes a la manipulación y no verificable por entidades de confianza es un componente importante de las componente importante de las identidades descentralizadas. La entidad gestiona la distribución de credenciales verificables a los proveedores de servicios digitales e incluye las credenciales verificables pertinentes en su solicitud de acceso a un servicio. El proveedor de servicios entonces verifica la credencial verificable antes de conceder el acceso. Un ejemplo de ejemplo es la Red de Organizaciones Verificables (VON) establecida por el Gobierno de Colombia Británica para crear una metodología mejorada para encontrar, emitir, almacenar y compartir datos fiables sobre las organizaciones constituidas. 1
Es probable que las entidades de confianza centralizada que emiten credenciales verificables credenciales verificables formen una confianza federada: por ejemplo, una institución financiera puede verificar las credenciales emitidas por otras instituciones instituciones financieras. Del mismo modo, las colaboraciones industriales de confianza, como Red de Redes de Confianza de IPCSA pueden emitir credenciales verificables verificables para sus miembros.
Si un proveedor de soluciones para la cadena de suministro registra todos los eventos durante transporte de un contenedor (llenado del contenedor, hora estimada/real de llegada, recogida del contenedor, etc.), con las identidades descentralizadas descentralizadas, el proveedor de la solución no tiene que registrar todos los depósitos vacíos, empresas de transporte, almacenes transportistas, agentes de aduanas, etc. a nivel global de antemano.
En su lugar, el proveedor de la solución puede validar dinámicamente la fiabilidad del remitente de un evento, reduciendo el tiempo, las barreras y el coste de la incorporación. tiempo, barreras y costes. Si el evento se envía desde, está firmado digitalmente por el contenedor IoT, y esta firma puede ser rastreada hasta la entidad legal responsable del contenedor.
Para permitir la capacidad de interactuar con el socio adecuado en el momento adecuado, es importante que las normas empresariales internas de cada entidad determinen el nivel de confianza de una identidad autogestionada y las correspondientes credenciales verificables. En comparación con las soluciones de identidad centralizadas, esto da más control a la entidad, pero también traslada la responsabilidad de gestionar su propia identidad y validación de las identidades de otras partes del proveedor de servicios a la entidad: Esto puede ser difícil de conseguir, especialmente para las pequeñas y medianas empresas, y puede aumentar el riesgo de fraude, por lo que deben identificarse y aplicarse los controles más eficaces.
Sistema federado frente a sistema descentralizado
En un sistema federado, una sola entidad se registraría en una organización: Organización A. Otras organizaciones, como la Organización B, pueden optar por confiar en las identidades proporcionadas por la Organización A, lo que permite a una sola entidad entidad acceda a los servicios prestados por la Organización A y la Organización B con una única identidad digital A y la Organización B con una única identidad digital. Esa identidad digital es proporcionada por la Organización A directamente a Organización B.
En un sistema descentralizado, sin embargo, esa única entidad está gestiona sus propios datos de identidad. En lugar de depender de la Organización A para proporcionar la identidad a la Organización B, la entidad proporciona piezas de datos de identidad verificados para acceder a los servicios. Las organizaciones eligen si aceptan la identidad digital, y las organizaciones suelen formar parte del
consorcio que gestiona el sistema de identidad descentralizado.
Cómo determinar el arquetipo adecuado
Una comparación de las características del sistema puede ayudarle a decidir qué arquetipo es el adecuado (véase la figura 5). Debido a la tecnologías para las identidades descentralizadas, la solución solución descentralizada es un escenario idealizado que aún no se ha implementado realmente.
| Arquetipos de sistemas | Centralizado – se registra una vez, se confía en uno | Federado – se registra una vez, se confía en muchos | Descentralizado – se crea una vez, se confía en todo el mundo |
|---|---|---|---|
| Definición | Una sola organización establece y gestiona una relación de confianza punto a punto relación de confianza con cada identidad empresarial y añade credenciales a medida. credenciales a medida |
Diferentes sistemas independientes, cada uno con su propia ancla de confianza, establecen confianza de dominio a dominio. Las credenciales se estandarizan dentro del dominio |
Las entidades comerciales gestionan sus propias identidades digitales. Múltiples entidades contribuyen |
| Ejemplos | INTTRA, GT Nexus, Amazon, Alibaba |
BankID de Suecia, NemID de Dinamarca NemID, SecureKey de Canadá Concierge, GTIN de GS1 (productos) y GLN (ubicaciones), Amazon Facebook y Google Identity Federación |
Orgbook de British Colombia y de Ontario Verifiable Business de Ontario (VON), Identidad digital de Alastria |
| Nivel de adopción y confianza |
Sistema típico en la actualidad; uso generalizado uso; los estándares de identidad y los protocolos protocolos están maduros |
Algunas soluciones a gran escala producción a gran escala; los estándares y protocolos están maduros |
La adopción se encuentra actualmente en las primeras fases (sobre todo piloto, prueba de concepto). Normas y protocolos por definir definidos |
| Consecuencias de los costes comerciales | Necesita un coste de capital limitado para realizar en cada proveedor de servicios. Todos los proveedores de servicios tienen costes operativos costes operativos |
Necesita un coste de capital medio para realizarlo en cada dominio. Los costes operativos se dividen en varios proveedores de servicios |
Necesita más coste de capital por adelantado para realizarlo, pero una vez operativo, tiene tiene un coste operativo menor |
| Nº de identidades individuales para participar en el comercio mundial |
Se requiere una nueva identidad digital para cada proveedor de servicios digitales. Credenciales empresariales creadas en cada proveedor de servicios |
Se requiere una nueva identidad digital para cada dominio. Credenciales comerciales compartidas en todo el dominio |
Una identidad comercial global para cada organización. Credenciales comerciales verificables de fuentes externas e independientes independientes |
| Interacciones directas en un sistema peer-to-peer (P2P) sistema |
Requiere que el intermediario facilite fideicomiso |
Requiere que el intermediario facilite la confianza |
No requiere que el intermediario facilitar la confianza; esto lo hace el protocolo |
| Gestionar, controlar y proteger la identidad |
Las organizaciones tienen poco control de su identidad, ya que esto lo hace el proveedor de servicios |
Las organizaciones tienen un bajo control de su identidad, ya que esto lo hace el proveedor de servicios y los socios de la federación socios de la federación |
Las organizaciones controlan su propia identidad autogestionada. Puede ser una tarea compleja |
| Adaptación | Identidad adaptada a las necesidades de los necesidades de los proveedores de servicios |
Identidad adaptada al dominio requisito |
Una talla única para todos, ya que el proveedor de servicios necesita adaptar la solución a las identidades descentralizadas. Sin embargo las credenciales verificables pueden adaptarse a las necesidades específicas de los necesidades de los proveedores de servicios |
| Arquitectura de aislamiento de la identidad | Varias arquitecturas de identidad en silos | Varias arquitecturas de identidad en silos | Ningún silo de identidad – requiere un libro mayor descentralizado |
| Una única identidad de confianza y identidad compartida en comercio mundial |
Requiere una entidad centralizada para emita una identidad para todas las entidades globalmente |
Varias entidades centralizadas pueden emitir identidades; el reconocimiento global se realiza a través de la federación |
Requiere un reconocimiento global infraestructura descentralizada red y protocolos relacionados |
Los sistemas de confianza de identidad centralizados, federados y descentralizados no son mutuamente excluyentes; una organización o gobierno puede desplegar algunos o todos los sistemas para realizar
diferentes funciones. Los expertos asumen que la mayoría de los casos de uso en las cadenas de suministro globales podrían requerir un sistema híbrido que que incluya una mezcla integrada de los tres y que podría presentarse de muchas formas.
Consideraciones reglamentarias y legales
Nota: Esta sección 15,16 no es una lista exhaustiva de todas las posibles consideraciones reglamentarias y legales. Las leyes de localización de datos y las leyes de datos personales (como el GDPR) deben tenerse en cuenta cuando sea pertinente.
El uso de sistemas de identidad digital en las cadenas de suministro globales es intrínsecamente transfronterizo, lo que significa que las partes operan en múltiples jurisdicciones. En la actualidad, los regímenes jurídicos nacionales adoptan nacionales adoptan enfoques divergentes a la hora de legislar/regular la identidad digital. Con la naturaleza transfronteriza del comercio internacional se plantean varias cuestiones jurídicas. Por ejemplo, qué ley se aplicará para establecer la validez de un contrato – y a una cláusula de arbitraje de un contrato – y a una cláusula de arbitraje contenida en un intercambio de correos electrónicos?
Los sistemas descentralizados, como el blockchain, pueden fomentar el desarrollo de la identidad digital. Sin embargo, cuando las leyes y reglamentos existentes se han redactado para considerar la identidad digital (por ejemplo, la normativa eIDAS en la Unión Europea), han tendido a redactarse con una visión tradicional de de los datos y la identidad digital, es decir, basada en sistemas centralizados que en sistemas descentralizados. Esto significa que los reglamentos no son totalmente coherentes con un sistema descentralizado de identidad digital, por lo que las organizaciones podrían perder un arquetipo potencialmente prometedor.
Una posible solución consiste en formular normas jurídicas uniformes en todas las jurisdicciones a escala mundial. Tales esfuerzos legislativos esfuerzos legislativos destinados a crear un entorno jurídico propicio para de los intercambios electrónicos transfronterizos es un trabajo en curso.
Ya existen textos legislativos útiles. Algunas de ellas pueden encontrarse en los recientes acuerdos de libre comercio y otras en los textos de la Comisión de las Naciones Unidas para el (CNUDMI). Al mismo tiempo, es importante actualizar los trabajos teniendo en cuenta los conceptos emergentes (por ejemplo la gestión de la identidad) y la tecnología emergente (como elblockchain).
Los sistemas de identidad descentralizados también plantean cuestiones sobre la custodia y el almacenamiento de las claves privadas. Si la seguridad de una organización es tan segura como la clave privada vinculada a ella, ¿deben los proveedores de privada vinculada a esa identidad, ¿deben los proveedores de servicios que venden de servicios que venden soluciones de custodia y almacenamiento para proteger a sus clientes y al sistema en su conjunto? sistema en su conjunto?
Por último, debe quedar clara la responsabilidad en caso de fallo del sistema. Cuando el sistema de identidad se alimenta de una red descentralizada sin descentralizada, no hay un único operador centralizado de la red. centralizado de la red. Tampoco existen actos jurídicos o que respondan a los conflictos de ley inherentes a un sistema descentralizado. un sistema descentralizado.
Los trabajos de la UNCITRAL sobre el reconocimiento jurídico transfronterizo de
la gestión de la identidad y los servicios de confianza
En 2018, la CNUDMI pidió a su Grupo de Trabajo IV que investigara los aspectos jurídicos de la gestión de la identidad y los servicios de confianza, concretamente para facilitar el reconocimiento reconocimiento legal en las transacciones comerciales. Los debates en curso en debates en curso incluyen a las entidades pertinentes (personas físicas y jurídicas personas físicas y jurídicas como sujetos de derechos y objetos de identificación objetos físicos y digitales como objetos de identificación objetos de identificación) y los mecanismos legales para lograr el reconocimiento transfronterizo. transfronterizo. Además, la asignación de esquemas de identidad con de identidad con descripciones de niveles de garantía basadas en resultados para para establecer su equivalencia. La disponibilidad de esquemas de certificación y supervisión puede también desempeñar un papel importante en el proceso de reconocimiento.
Diseñar sistemas de identidad para las futuras cadenas de suministro
El paso a la optimización digital de las redes empresariales favorece un modelo de validación dinámica de la fiabilidad de cualquier entidad jurídica. En última instancia, el objetivo debería ser la más fluida de la cadena de suministro y la verificación de la identidad para involucrar a las personas jurídicas cosas y agentes de software autónomos. Esto significa que los servicios adecuados pueden ofrecerse en el momento oportuno, sin la sin la engorrosa tarea de registrar y aprobar a los socios de la cadena de de la cadena de suministro antes de la interacción, y sin una entidad central que controle el GTID de las personas jurídicas.
El documento parte de la base de que sólo habrá una plataforma GTID; Sin embargo, es probable que haya varias que se conecten entre bastidores. entre bastidores. Esto es similar a los muchos proveedores de servicios de Internet que se conectan para dar la impresión de una sola Internet.
Principios del sistema de identidad para las futuras cadenas de suministro de suministro.
Se proponen los siguientes principios para un modelo de GTID que permita permitir a los gobiernos y a las empresas disponer de una identidad digital una identidad digital autogestionada a lo largo de las cadenas de suministro globales:
– Confiabilidad global: Cualquier gobierno y empresa Cualquier gobierno y empresa debería poder verificar la fiabilidad de la GTID de una entidad legal y permitir que cada entidad legal pueda tener una identidad digital autogestionada. confianza de la GTID de una entidad jurídica y permitir que cada entidad jurídica tenga normas internas para la validación de la confianza. reglas de validación de la confianza.
– Autogestión: Cada gobierno y empresa debe gestionar completamente su propia identidad: por ejemplo, no será políticamente aceptable que un tercero gestione el GTID de un gobierno.
– Apoyar cualquier nivel de digitalización: Los países y países y empresas pueden beneficiarse de la GTID independientemente de su nivel de tecnología y preparación para la digitalización: por ejemplo, dentro de un país, no hay requisitos internos para las identidades Por ejemplo, dentro de un país, no hay requisitos internos para las identidades digitales o la emisión digital de documentos de constitución.
– Independencia de la jurisdicción: Cada jurisdicción decide el grado de confianza que depositarán en cada GTID.
– Rentabilidad: La inversión necesaria debe ser asequible para cualquier país, independientemente de su desarrollo económico y para cualquier empresa, independientemente de su presupuesto y preparación tecnológica.
– Políticamente neutral: La infraestructura debe ser políticamente neutral y apoyar los marcos políticos nacionales, lo que significa que ningún país/región/organización pueda controlar la infraestructura.
– Competitivamente neutral: El modelo GTID no debe dar una ventaja competitiva a ninguna organización.
– Independencia: No debe haber una dependencia de ninguna entidad entidad para ninguna de las funciones o procesos importantes del sistema. 17 No puede haber una sola entidad que controle partes críticas de del GTID.
– Viable y sostenible: El sistema es sostenible como negocio y es resistente a los cambios de prioridades políticas. 18
– Permitir la participación: El modelo debe permitir a todo tipo de tipos de empresas, incluidas las pequeñas y medianas empresas, participar más eficazmente en el comercio internacional internacional y mejorar su competitividad.
Propuesta de modelo de identidad digital para las futuras cadenas de suministro
Sobre la base de estos principios, la siguiente sección ilustra un modelo de GTID que pretende establecer la confianza entre gobierno a gobierno (G2G), empresa a gobierno (B2G) y empresa a empresa (B2B). (B2G) y entre empresas (B2B).
La primera sección ilustra cómo un gobierno puede obtener un GTID y autorizar a sus Agencias Reguladoras Transfronterizas Agencias Reguladoras Transfronterizas (CBRA) 19 para emitir y firmar licencias digitales, permisos, certificados u otras autorizaciones (LPCOs), 20 autorización que puede ser validada dinámicamente por las país. La segunda sección amplía el concepto de GTID a la interacción B2G, seguida de la tercera sección que se centra en las interacciones B2B.
El modelo ilustrado se basa en tecnologías descentralizadas descentralizadas; sin embargo, el modelo también puede realizarse con tecnologías centralizadas por una organización supranacional, con tecnologías centralizadas por parte de varias organizaciones que que federan la confianza, o con tecnologías descentralizadas sin una organización organización controladora, pero sí gobernadas por un consorcio de naciones.
Varios elementos necesarios para realizar una GTID están avanzando, como los trabajos jurídicos en el marco de la CNUDMI, la normalización y digitalización de los documentos comerciales, así como así como varias soluciones de identidad descentralizada como Civic Sovrin, Hyperledger Indy y uPort. Sin embargo, no hay esfuerzos concertados centrados en la realización de todas las piezas
necesarias para una solución completa de GTID.
No es la intención de las ilustraciones ser técnicamentetécnicamente y/o incluir todos los detalles y excepciones posibles. El propósito es principalmente ilustrar el modelo.
Confianza entre gobiernos
Los principales retos en las interacciones digitales G2G son confiar en que un LPCO digital -como un certificado de origen un certificado de inspección, un certificado especial de franquicia, etc. – ha sido emitido en el país exportador por una CBRA autorizada, que el LPCO no ha sido manipulado y que sólo entidades autorizadas tienen acceso al LPCO.
Figura 6: Establecimiento de la GTID del gobierno nacional
A. El gobierno crea una identidad autogestionada
B. La entidad de confianza verifica que es el gobierno quien
controla la identidad
C. Resultado: El gobierno tiene ahora una identidad global de confianza identidad comercial global autogestionada (GTID)
Segundo paso: establecer el GTID de cada CBRA (Figura 7). El gobierno emite una prueba de existencia a una CBRA reconociendo que es una autoridad pública bajo su jurisdicción. La CBRA utiliza la prueba de existencia para obtener su GTID autogestionado. GTID autogestionado. Este paso se repite cada vez que se crea una CBRA en país.
A. Las autoridades públicas utilizan una prueba de existencia para crear una GTID autogestionada
B. El gobierno emite una credencial que dice que es una
autoridad pública
C. El gobierno emite una credencial que dice CBRA 1 está autorizada a expedir certificados de origen
D. El gobierno emite una credencial que dice que CBRA 2 está autorizado a emitir la declaración de exportación declaración de exportación
E. Esto se repite para cada CBRA y para todas las licencias, permisos, certificados u otras autorizaciones
F. Resultado: Las CBRAs pueden ahora documentar globalmente documentar que están autorizados a expedir certificados de origen, declaraciones de exportación, etc.
El gobierno avala una CBRA para emitir un LPCO específico otorgando credenciales globalmente reconocibles y verificables a la CBRA. En el comercio mundial, hay menos de 100 tipos de LPCO utilizados regularmente. Será necesario estandarizar las credenciales verificables que informen de que una CBRA está autorizada por un gobierno para emitir un tipo específico de LPCO. El resultado es en componentes técnicamente sencillos, rentables y políticamente neutrales que permitan a un gobierno confirmar que una CBRA es una autoridad de confianza bajo una jurisdicción específica. El CBRA puede documentar a través de la credencial verificable que ha sido autorizada a emitir un LPCO específico.
Tercer paso: una CBRA exportadora emite una LPCO en respuesta a la solicitud de un operador (Figura 8). Un ejemplo de LPCO en ejemplo de LPCO puede ser un “certificado de origen” (CoO), un documento muy utilizado en el comercio internacional, que un un comerciante suele solicitarlo a la CBRA. La figura 8 ilustra cómo la CBRA utiliza el GTID para firmar el CoO y así otras entidades para validar que está autorizada a emitir un CoO.
A. Otro documento de identidad descentralizado del CBRA El comerciante solicita al CBRA exportador la emisión de un Certificado de Origen (CoO). (El comerciante sabe, a través de las credenciales, que se trata de la CBRA que emite CoOs bajo esta jurisdicción)
B. La CBRA emite y firma el CoO con firma digital firma digital
C. La CBRA almacena los CoO firmados en un ledger
D. La CBRA da control de acceso al comerciante
E. Resultado: Se puede validar globalmente que la CoO está firmado por la CBRA que está autorizada en la jurisdicción del país exportador jurisdicción del país exportador
Cuarto paso – un CBRA importador verifica la LPCO (Figura 9): Una CBRA del país importador puede verificar que la CBRA exportadora que ha firmado digitalmente la LPCO es un emisor autorizado de un LPCO específico bajo la jurisdicción del país exportador. del país exportador. La reacción de la CBRA importadora a partir de esta verificación depende de la jurisdicción local,
el grado de confianza que tenga en la comprobación del país exportador,
validación y gobernanza del país exportador, y de las normas empresariales internas de la CBRA. 18
El modelo utiliza tecnologías convencionales como las firmas firma digital, hashing y encriptación estándar para garantizar el no repudio. Como resultado, el CBRA importador sabe que es el documento original y que no ha sido manipulado.
A. La CBRA del país importador solicita el Certificado de Origen (CoO)
B. El comerciante verifica que esta CBRA está autorizada a solicitar el CoO dentro de la jurisdicción del país importador jurisdicción del país importador
C. El comerciante da acceso a la CoO
D. La CBRA importadora verifica que el documento no ha sido modificado y que ha sido emitido por una CBRA del país exportador que estáautorizado a emitir CoOs en esa jurisdicción
E. Es decisión exclusiva de la CBRA importadora determinar determinar el grado de confianza que depositará en estas verificaciones
F. Resultado: Un GTID autogestionado de confianza global que es política y competitivamente neutral y asequible para cualquier país
Para facilitar el proceso de validación de la CBRA importadora, el gobierno del país exportador debería firmar digitalmente y publicar publicar una tabla sencilla a prueba de manipulaciones en la que se indique qué autoridades deben firmar cada LPCO. Esto permite a la autoridad importadora importar validar que las firmas digitales de las autoridades correctas autoridades correctas están en el LPCO.
La LPCO puede estar en cualquier formato digital: XML, JSON, PDF o incluso una foto JPG tomada con un teléfono móvil. Un La firma digital de un CBRA autorizado en un LPCO aumenta la fiabilidad del documento. Esta flexibilidad reduce las Esta flexibilidad reduce las exigencias de preparación técnica de un país y puede ser un primer paso importante en la digitalización de las LPCO. un primer paso importante en la digitalización de los LPCO, apoyando el principio de cualquier nivel de digitalización.
Confianza entre empresas y gobiernos Las interacciones directas entre empresas y gobiernos durante los procesos de importación/exportación/tránsito se producen cuando una CBRA emite una LPCO a una empresa, y cuando una empresa presenta un LPCO a una CBRA. Las interacciones indirectas se producen cuando una CBRA, como parte de su evaluación de riesgos, utiliza información procedente de diversas fuentes de datos que incluyen información sobre la identidad de una empresa.
Cuando las interacciones G2G sólo requieren una autenticación y autorización del gobierno y sus CBRA, la identificación de las empresas es más más complicada, principalmente debido al número de entidades y a los diferentes tipos de empresas e interacciones. Los numerosos tipos de empresas e interacciones.
Un gobierno puede comenzar con la identificación de las empresas que desempeñan un papel especial en el comercio mundial que suele requerir
un certificado/permiso/licencia (por ejemplo, agente de aduanas, transitario,
cámaras, etc.). De forma similar a las identidades CBRA, el punto de partida
punto de partida es cuando un gobierno, utilizando credenciales verificables
ha autorizado a una agencia a aprobar el establecimiento de una entidad legal dentro de su jurisdicción. Cuando una empresa se Cuando una empresa se constituya, dispondrá de una prueba de existencia que puede utilizar para solicitar un GTID.
Con ello, todo el mundo puede ver que esa empresa es una entidad legal bajo una jurisdicción específica – y la empresa puede solicitar a entidades de confianza que emitan credenciales credenciales verificables que se utilizarán en las solicitudes de acceso a servicios. Las credenciales genéricas verificables utilizadas en el comercio mundial deben ser estandarizadas.
La red de organizaciones verificables de Colombia Británica y Ontario Red de Organizaciones Verificables
Las provincias canadienses de Colombia Británica y Ontario diseñaron la Red de Organizaciones Verificables (VON) para permitir un entorno digital de confianza para sus empresas. Utilizando el sistema de identidad descentralizado Sovrin Network donde han colocado sus definiciones de credenciales y de credenciales y claves de verificación, el objetivo es dotar a las empresas de una identidad digital de confianza emitida por su gobierno local con la que puedan llevar a cabo sus asuntos de forma global. A mediados de marzo de 2019, VON ha emitido más de 7millones de credenciales verificables para empresas canadienses.
Para otras empresas que participan en el comercio mundial, se recomienda
recomienda que se obtengan los GTID y que los gobiernos los acepten. Sin embargo, el plazo para que esto ocurra podría ser largo, por lo que el actual sistema centralizado de Ventanillas Únicas de Comercio (VUE), por de comercio (TSW), por ejemplo, podría continuar, y las federaciones con federaciones entre las TSW a escala bilateral o regional.
Una GTID única en el comercio mundial mejorará las evaluaciones de de riesgo de los gobiernos, ya que es más fácil correlacionar las actividades actividades realizadas dentro de la cadena de suministro y comprender las actividades realizadas por las entidades que manipulan la carga durante su viaje global.
Confianza entre empresas
El GTID también puede utilizarse cuando las empresas interactúan digitalmente con otras empresas. Esto permite a cada empresa entender inmediatamente con quién está interactuando y validar la fiabilidad de esta empresa, basándose en en credenciales relevantes y verificables (véase el ejemplo de la Global Legal Entity Identifier Foundation). 22
La Global Legal Entity Identifier Foundation (GLEIF)
Para las entidades que participan en transacciones financieras, la GLEIF tiene la misión de encargada de apoyar la implantación y el uso de la norma norma ISO del Identificador de Personas Jurídicas (IPJ). Conecta a información de referencia vital que permite una identificación precisa y identificación precisa y única de las entidades jurídicas que participan en transacciones financieras. Cada IPJ contiene información sobre la estructura de propiedad de una entidad y, por tanto, responde a las preguntas de “quién es quién” y “quién es dueño de quién”. 23
Hoy en día, muchas interacciones B2B se producen a través de plataformas
con identidades centralizadas. Se espera que estas plataformas sean reacias a pasar a identidades descentralizadas descentralizadas, ya que la identidad centralizada puede ser una parte importante de su propuesta de valor. Por lo tanto, es probable que este paradigma se mantenga durante algún tiempo, eventualmente con alguna federación entre las distintas plataformas. Sin embargo en los casos en que la plataforma de colaboración sea una iniciativa iniciativa de la industria, como IPCSA, merece la pena pasar a GTID de la industria, vale la pena pasar a GTID, ya que reducirá el coste total y aumentará la eficiencia de la participación en dicha colaboración.
Es probable que existan múltiples consorcios GTID dentro de cadenas de suministro mundiales. Por ello, es importante que estos consorcios federen la confianza entre sí. Esto permite que cada entidad jurídica registre su GTID una sola vez y reutilice las credenciales digitales verificables asociadas en todas las de suministro y geografía, donde la federación mitiga diferencias técnicas en la representación de las identidades y credenciales verificables. Esto también incluye la estandarización de credenciales verificables utilizadas en el comercio mundial.
Próximos pasos
Si se mantiene el actual enfoque de identidad aislada, la digitalización del comercio mundial probablemente se ralentizará, y las interacciones digitales más interacciones digitales más dinámicas entre las distintas partes podrían ser difíciles y costosas.
En la actualidad, estamos empezando a ver cómo despegan los esfuerzos en torno a la de la identidad descentralizada, mientras se trabaja para superar barreras legislativas, reglamentarias y técnicas. No todos los obstáculos no son fáciles de superar, ni los beneficios de una GTID automáticamente. Las oportunidades y recompensas de la digitalización pueden ser enormes. Para facilitar la digitalización del comercio mundial se proponen tres iniciativas para hacer realidad la GTID:
– Las soluciones basadas en la cadena de bloques que entren en producción en los próximos años deberían, si bien utilizan actualmente identidades centralizadas tradicionales, planificar la transición a identidades descentralizadas cuando los estándares y protocolos hayan madurado.
– La industria debería colaborar para hacer realidad el concepto de GTID. Para mantener el control, la industria debe empezar a definir definir el trabajo de base sobre la que se basen las futuras soluciones de GTID. Véase la Global Legal Entity Identifier Foundation (GLEIF) para inspirarse.
– Los gobiernos deberían, en colaboración con la industria actuar para hacer realidad un concepto en el que las identidades gubernamentales, firmas y credenciales verificables sean reconocidas globalmente (por ejemplo, deberían intensificar la transformación digital establecer el marco jurídico que permita la identidad digital y fomentar la confianza y el reconocimiento mutuo con otros gobiernos). Esto podría ser un importante catalizador para facilitar el comercio mediante iniciativas sin papel.
La GTID es solo un paso en la digitalización del comercio mundial, pero es un pero es un paso fundamental. Otros pasos incluyen la estandarización de documentos LPCO, los protocolos de comunicación IoT y la
interoperabilidad de los sistemas comerciales. Estos pasos también son importantes.
Sin embargo, si no sabe quiénes son sus socios comerciales son, las interacciones digitales dinámicas en las cadenas de suministro globales nunca se producirán. Por lo tanto, se debe dar prioridad a establecer una GTID con credenciales globales estandarizadas y verificables verificables para empresas y gobiernos.
Apéndice 1: Funcionamiento de un modelo de identidad descentralizado
El modelo de identidad descentralizada consiste en que tanto la prueba original de la existencia de la entidad jurídica como las actualizaciones de las credenciales verificables de la entidad jurídica deben almacenarse en un libro mayor compartido de confianza. credenciales verificables de la entidad legal deben almacenarse en un libro mayor compartido de confianza. El libro mayor compartido debe apoyar la confianza, garantía, procedencia, seguridad, escalabilidad y eficiencia.
Un Identificador Descentralizado (DID) es un identificador único a nivel mundial que no requiere una autoridad de registro centralizada y se se crea en un dominio de confianza común llamado Identity Trust Fabric (ITF) que almacena la prueba de las identidades y sus credenciales verificables credenciales verificables de forma criptográfica e inmutable en la cadena de bloques. El ITF es donde los socios de la cadena de suministro pueden verificar la autenticidad de una identidad, así como las credenciales verificables relacionadas. El ITF es el componente que evita la necesidad de un proveedor de identidad central para gestionar la confianza. Una vez establecida una identidad descentralizada, cualquier socio de la cadena de suministro puede verificar los atributos pertinentes de otro socio de la cadena de suministro con el que vaya a participar en una interacción comercial, ya sea ya sea concediendo acceso o realizando una transacción. La decisión sobre el grado de confianza en la identidad y sus credenciales verificables la toma cada socio de la cadena de suministro. verificables es tomada por cada socio de la cadena de suministro individualmente. Tenga en cuenta que el DID se maneja en una cadena de bloques separada de la cadena de bloques transaccional.
El documento DID está vinculado a la identidad descentralizada. Describe el DID y contiene el mecanismo que una entidad puede utilizar para autenticarse como el DID – normalmente, las claves públicas cuyas correspondientes claves privadas son controladas por la entidad identificada, así como un conjunto de puntos finales de servicio para interactuar con la entidad y otros atributos o credenciales verificables verificables que describen a la entidad. Un punto final de servicio puede representar cualquier tipo de servicio que la entidad desee anunciar.
La DID del gobierno de cada país es el punto de partida para establecer la identidad de cualquier empresa (véase la sección Confianza entre gobiernos). Por lo tanto, es necesario que todos los actores de las cadenas de suministro globales confíen en estos DID gubernamentales.
Esto puede lograrse mediante el registro y mantenimiento de estos DID por parte de cada empresa en su sistema interno, o puede haber un servicio de confianza que haga un seguimiento de los DID gubernamentales. Este servicio de confianza puede ser operado por una organización central, pero esto dará una cantidad significativa de autoridad a esta organización. En cambio, un servicio descentralizado en el que más entidades entidades puedan compartir la autoridad y la gobernanza distribuiría la autoridad por todo el mundo, evitando el control central por parte de una sola organización. una sola organización.
Para permitir la confianza entre los IO, así como entre los IO y otras entidades empresariales, una entidad debería asociar el identificador de IoT y otros agentes que operan en su nombre con su identidad empresarial.
Un sistema de identidad puede estar completamente descentralizado mediante el uso de redes de blockchain sin permisos y sin confianza. Sin embargo, este modelo no suele cumplir la mayoría de los requisitos de gestión de riesgos empresariales. Como resultado, las cadenas de bloques sin permisos pueden no ser utilizables, aunque eliminan la necesidad de un órgano de gobierno central. El control necesario puede lograrse si una sola organización opera el Tejido de Confianza de Identidad, pero esto sólo será una descentralización simulada. Es más realista que el Tejido de Confianza de Identidad esté formado por un consorcio de nodos de confianza preseleccionados que construyan una cadena de bloques con permisos.
Tenga en cuenta que los socios del consorcio no tienen que formar parte de la cadena de suministro; el socio de la cadena de suministro simplemente necesita confiar en el consorcio. Esto debería proporcionar suficiente descentralización y, por tanto, ofrecer suficiente neutralidad en el modelo de funcionamiento del Identity Trust Fabric. Un ejemplo es el modelo G2G del que hablamos en la página 13, en el que cada país podría operar un nodo blockchain o tener nodos blockchain regionales: por ejemplo, para la Unión Europea.
Credenciales verificables en identidades descentralizadas
Una credencial es una pieza de información que un emisor de credenciales tiene sobre una entidad. El emisor de credenciales firma digitalmente la El emisor de credenciales firma digitalmente la credencial y la entrega a la entidad, que la incluye en su solicitud de acceso a un servicio. El proveedor de servicios debería poder verificar las firmas criptográficas del emisor de credenciales antes de conceder el acceso al servicio (véase la figura 10).
——————————-
Decentralized identity system of records
DID document
DID document created holds public key and PoE
Trust Fabric
Receives request, creates DID, private wallet and DID document
PoE
Entidades Legales
Monedero privado
Se ha creado un monedero privado que contiene el DID, la clave privada y el enlace al documento DID
Credenciales almacenadas de forma segura, incluyendo verificación instrucciones
Autogestionado o delegada en un agente
Recibe la prueba de existencia
Las solicitudes para generar par de llaves públicas/privadas par de claves
Solicita credencial Req. (se repite para cada credencial necesaria)
Recibe credenciales, las firma y las almacena de forma segura.
Autoridades de confianza
Emisor de la prueba de existencia
Emitido y firmado prueba de la existencia de la persona jurídica
Emisor de credenciales
Valida si la entidad legal puede tener credencial
Signos y cuestiones credencial ( por ejemplo, puede emitir una foto, tener licencia de exportación, …)
————————–
Las credenciales verificables deben basarse en esquemas de credenciales estandarizados que estén disponibles en el Tejido de Confianza de la Identidad, de modo que las credenciales verificables sean comprensibles para cualquier agente de la cadena de suministro. También debería ser posible que cada
entidad solicite información adicional sobre el DID a otras partes (por ejemplo, si el expedidor tiene una licencia de exportación para carga específica). Sin embargo, debe ser controlado por el titular del DID, de modo que éste siempre tenga el control de las interacciones relacionadas con la identidad. de las interacciones relacionadas con la identidad.
Esto permite un concepto dinámico, ya que la confianza puede aumentar una vez establecido el nivel básico de confianza a través de la prueba inicial de existencia inicial, haciendo que más proveedores de servicios den fe de la identidad de una empresa y verifiquen credenciales de perfil adicionales con su firma digital.
credenciales del perfil con su firma digital. Este historial de confianza estará disponible en el Identity Trust Fabric. Tenga en cuenta que esto también incluye la posibilidad de degradar la confianza y los atributos.
Durante una interacción, una entidad presenta la identidad y las credenciales y la otra parte debe ser capaz de verificarla. Este significa que los emisores de credenciales y pruebas de existencia verificables deberían estar preparados para verificar inmediatamente la validez de su afirmación, además de contar con procesos fiables para el mantenimiento de los identificadores (véase la figura 11).
| Descentralizado sistema de identidad de registros |
Legal entity
(holder of identity)
|
Service provider | Trusted authorities |
|---|---|---|---|
| El documento DID entrega la prueba de existencia |
Recibe la solicitud de servicio solicitud | ||
| El documento DID entrega la prueba de existencia |
Solicita una prueba de existencia de DID documento |
||
| Inspecciona el PoE y solicita la validación si necesario |
Confirma la prueba de existencia |
||
| Envía credenciales adicionales credencial – Incluyendo la verificación instrucciones |
Solicita credenciales adicionales credenciales para permitir acceso al servicio |
||
| Inspecciona la credencial y decide si se necesita una verificación adicional |
|||
| Solicita al emisor que verifique la validez de la credencial |
|||
| Acceso al servicio | Permite el acceso a servicio |
Confirma la validez de la credencial |
Identificación de una entidad jurídica
En un modelo controlado por el gobierno, éste crea un fundamento jurídico que describe cómo identificar a las autoridades públicas y cómo se crean y gobiernan las entidades jurídicas dentro de esa jurisdicción. autoridades públicas y cómo se crean y gobiernan las entidades legales dentro de esa jurisdicción. Las identidades emitidas por el gobierno son normalmente estables e identifican de forma única a una entidad comercial y, como tales, son la base de todas las interacciones con el mundo exterior. mundo exterior. Los identificadores emitidos por el gobierno son imprescindibles en el actual modelo de identidad, principalmente centralizado, y los gobiernos siguen teniendo un papel vital en una solución descentralizada de la cadena de suministro global.
Una autoridad pública registra e identifica a las entidades legales dentro de su jurisdicción, basándose en la base legal. Esto supone que los sistemas y procesos de emisión de identidad del gobierno no se vean comprometidos o destruidos/corrompidos. En ese caso, al igual que en el caso de los países devastados por la guerra, deberían existir alternativas como las Naciones Unidas u otros mecanismos para personas jurídicas que deseen participar en las cadenas de suministro mundiales.
La autoridad pública debe garantizar que las actualizaciones del estatus legal de una entidad se mantienen continuamente y se comuniquen inmediatamente. Tan pronto como una entidad jurídica cambie de estatus, debe ser comunicado directamente por la autoridad pública y ponerse a disposición de todos los participantes en la cadena de suministro que pretendan interactuar con la entidad jurídica.
Por ejemplo, este estatus puede consistir en una declaración de quiebra, un cambio de propiedad, la renovación de la licencia para transportar mercancías peligrosas, etc.
A partir del modelo controlado por el gobierno, también hay modelos no controlados por el gobierno, como un esquema de identificación de la industria. de identificación de la industria. En este caso, todas las entidades de la red confían en que la entidad no gubernamental ha verificado la existencia de la entidad legal. La entidad no gubernamental suele añadir a la identidad credenciales verificables específicas del sector, que pueden estar en diferentes contextos, como las finanzas, los seguros, la logística, la auditoría/cumplimiento, etc. Estos DID no sustituyen a los DIDs emitidos por el gobierno, sino que los complementan en un contexto específico de la industria. Un socio comercial debe ser capaz de rastrear el DID del sector hasta el DID del gobierno.
Glosario
Agencia reguladora transfronteriza (CBRA): La regulación transfronteriza transfronteriza del comercio internacional implica a muchos organismos agencias gubernamentales. Entre ellos se encuentran los organismos que se ocupan del comercio de bienes que afectan a la salud humana (por ejemplo, seguridad alimentaria productos farmacéuticos, cosméticos y drogas peligrosas, por nombrar algunos). Otras agencias pueden, por ejemplo, ocuparse de la medioambiental o de bioseguridad. El número exacto de agencias
depende del perfil de cumplimiento del país. (Organización Mundial de Aduanas)
Agente informático autónomo (ASA): Un agente de software autónomo es un componente que tiene la inteligencia necesaria para necesaria para decidir de forma autónoma cuándo realizar una acción. Un ASA se ejecuta de forma autónoma en la blockchain y permite a los miembros de una red colaborar y negociar transacciones entre ellos en nombre de, y instruidos por las entidades que los controlan. También se denomina aplicación descentralizada (Dapp).
Ancla de confianza: Una organización que lleva a cabo la prueba de identidad
de identidad y que emite documentos físicos y/o credenciales/certificados
credenciales/certificados digitales en los que otros confían.
Autogestionado: En una interacción autogestionada, un usuario puede
controlar su propia identidad y atributos.
Autenticación: Verificación de la identidad de un usuario, proceso o dispositivo, a menudo como requisito previo para permitir el acceso a recursos en un sistema de información. (NIST SP 800-128)
Autorización: El proceso de verificar que una acción o servicio acción o servicio solicitado está aprobado para una entidad específica. (NIST SP-800-152)
Consorcio: Un grupo de personas, países, empresas, etc. que trabajan juntos en un proyecto concreto. (Oxford Learner’s Dictionary)
Credenciales: Un objeto o estructura de datos que vincula de forma autorizada
de datos que vincula una identidad -a través de un identificador o identificadores- y (opcionalmente) atributos adicionales, a al menos un autentificador que posee y controla un suscriptor. (NIST SP 800-63-2)
Código de barras GS1: Los códigos de barras son símbolos que pueden escanearse electrónicamente mediante sistemas láser o basados en cámaras. Se utilizan para codificar información como números de números de producto, números de serie y números de lote. Los códigos de barras desempeñan un papel vital en las cadenas de suministro, permitiendo a partes como minoristas, fabricantes, proveedores de transporte y hospitales identificar y rastrear automáticamente los productos a medida que avanzan
a través de la cadena de suministro. (GS1)
Contrato inteligente: Las Blockchains pueden programarse para automatizar procesos de negocio (por ejemplo, realizar pagos) en diferentes entidades. Un contrato inteligente es un protocolo de protocolo de transacción que ejecuta automáticamente los términos de un contrato en una blockchain una vez que se cumplen unas condiciones predefinidas condiciones predefinidas.
Cuarta revolución industrial: Una revolución tecnológica impulsada por los avances de la ciencia y la tecnología. Los avances científicos científicos y las tecnologías emergentes avanzan a una velocidad
a una velocidad sin precedentes e incluyen tecnologías como como la cadena de bloques y la tecnología de libro mayor distribuido, la artificial, la conducción autónoma, la medicina de precisión, los drones
y el internet de las cosas, entre otras.
Documento comercial: Los documentos comerciales son cualquier documento utilizados en el comercio mundial, ya sean certificados, licencias, permisos o documentos comerciales como órdenes de compra, conocimientos de de carga, etc. Sólo indicamos tipos de documentos específicos cuando sea pertinente.
eIDAS: El Reglamento eIDAS 910/2014 establece un marco para la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado único europeo. (European Comisión Europea)
El Reglamento General de Protección de Datos (RGPD): Un reglamento sobre la protección de las personas físicas con en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos. (Reglamento (UE) 2016/679) Número de localización global (GLN): El GLN forma parte de un estándar GS1 estándar utilizado para cualquier ubicación (física, operativa o legal)
que necesita ser identificada para su uso en la cadena de suministro. (GS1)
El reconocimiento mutuo: Principio del derecho internacional por el que
los Estados que son parte de acuerdos de reconocimiento mutuo reconocen
y mantienen las decisiones legales tomadas por las autoridades competentes
en otro Estado miembro.
Firma digital: Un tipo específico de firma electrónica (firma electrónica) que se basa en la criptografía de clave pública para autenticación de la identidad y la integridad de los datos y las transacciones.
Identity Trust Fabric (ITF): Un dominio de confianza común donde
las entidades almacenan de forma inmutable la prueba de las identidades y sus
credenciales verificables en la cadena de bloques y donde los
de suministro pueden verificar la autenticidad de una identidad
así como las credenciales relacionadas.
Internet de las cosas: Una red de objetos -cada uno con sensores
sensores, que se conectan a Internet.
Operador económico autorizado: Una parte involucrada en el movimiento internacional de mercancías, en cualquier función, que ha sido aprobado por, o en nombre de, una administración aduanera nacional administración aduanera nacional que cumple con las normas de seguridad de la cadena de suministro de la OMA o equivalentes. normas de seguridad de la cadena de suministro. (Marco normativo SAFE de la OMA Normas)
Proveedor de servicios: Una entidad que ofrece la funcionalidad de la aplicación
funcionalidad de la aplicación y los servicios asociados a través de una red a
múltiples consumidores de servicios.
Repudio: El rechazo o la negación de la validez de algo.
Servicio de Información de Código de Producto Electrónico (EPCIS): Una norma GS1 que permite a los socios comerciales compartir información sobre el movimiento físico y el estado de los de los productos a lo largo de la cadena de suministro. (GS1)
Sistema comunitario portuario (SCP): Un PCS es una plataforma electrónica
plataforma que conecta los múltiples sistemas operados de organizaciones que conforman una comunidad portuaria o aeroportuaria. Es compartido en el sentido de que está creado organizado y utilizado por empresas del mismo sector, en este
caso, una comunidad portuaria. 24
Sistema de ventanilla única comercial (TSW): Un servicio que permite a las
que permite a las partes implicadas en el comercio y el transporte presentar
información comercial digital estandarizada y los documentos comerciales con un punto de entrada único para cumplir con todos los requisitos de importación, exportación y tránsito.
Técnicas criptográficas/Criptografía: Una disciplina o técnica que engloba los principios, medios y mecanismos para la transformación de datos con el fin de ocultar su contenido informativo, impedir su modificación no detectada y/o impedir su uso no autorizado. (ISO/IEC 74498-2: 1989, ISO/IEC SD6)
Documento digital: Información digital que ha sido recopilada y formateada para un propósito específico, que incluye contenido y estructura y puede incluir el contexto. (Glosario de Terminología archivística y documental)
Identidad digital: Una representación única de un sujeto que participa en una transacción en línea. Una identidad digital es siempre única en el contexto de un servicio digital, pero no no tiene por qué identificar de forma única al sujeto en todos los contextos. (NIST SP800-63-3)
Colaboradores
El proyecto Blockchain para la cadena de suministro del Centro para la Cuarta Revolución Industrial del Foro Económico Mundial es un esfuerzo global, multisectorial y de múltiples partes interesadas, cuyo objetivo es codiseñar y cocrear marcos. En el proyecto participan partes interesadas de múltiples industrias y gobiernos de todo el mundo. Este informe se basa en numerosos debates, talleres y trabajos de investigación y en el esfuerzo combinado de todos los participantes. Las opiniones expresadas en él pueden no coincidir necesariamente con las de cada uno de los participantes en el proyecto.
Agradecemos sinceramente a los que han contribuido con sus ideas únicas a este informe. También estamos muy agradecidos por el También estamos muy agradecidos por el generoso compromiso y apoyo de los becarios del Centro dedicados al proyecto: Soichi Furuya, de Hitachi.
Autores principales
Alexandra Ashpole, consultora de identidad digital, Accenture, Estados Unidos
Andres Ojamaa, investigador principal, Guardtime, Estonia
Andrew Tobin, Director General, EMEA, Evernym
Christine Leong, Directora General, Accenture, Estados Unidos
Dominique Guinard, Fundador y Director de Tecnología, EVRYTHNG, Suiza
Douglas S. Hill, Director de Operaciones de eBusiness, GS1 Dinamarca, Dinamarca
Francis Jee, Director, Deloitte, Estados Unidos
Gadi Benmoshe, Director de Información, Israel Ports Development & Assets Company, Israel
Hanns-Christian Hanebeck, fundador y director general, Truckl.io, Estados Unidos
Jana Krimpe, Copresidenta, Alianza Global para las Identidades Móviles Nacionales, Azerbaiyán
Javier Gallardo, Director, Portic Barcelona, Asociación Internacional de Sistemas de Comunidades Portuarias, España
John Choi, Director General, Markany, Corea del Sur
Jon Shamah, Asociación Europea para la Identidad y la Seguridad Electrónicas, Reino Unido
Luca Castellani, Oficial Jurídico, Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, Austria
Lucy Hakobyan, Jefa de Programa, Mobility Open Blockchain Initiative, Estados Unidos
Madhav Durbha, Vicepresidente del Grupo, Estrategia de la Industria, LLamasoft, Inc, Estados Unidos
Martin Riedel, Director de Producto, Civic, Alemania
Michele Nati, analista principal de tecnología, IOTA Foundation, Reino Unido
Mikael Lind, Director de Investigación, Institutos de Investigación de Suecia, Suecia
Ramón Gómez Ferrer, Subdirector de Planificación Estratégica, Puerto de Valencia, España
Robert Maslamoney, Director General, Maersk, Angola
Soichi Furuya, Investigador Senior, Hitachi, Estados Unidos
Stuart Davis, Asociado Senior, Latham & Watkins, Reino Unido
Sumedha Deshmukh, especialista en proyectos, Foro Económico Mundial, Estados Unidos
Vijay Kumar, Director de Tecnología, eMudhra, India
Wolfgang Lehmacher, ejecutivo superior de la cadena de suministro, Suiza
Yusuke Jin, investigador principal, Hitachi, Japón
Comentaristas
Ashley Lannquist, Jefe de Proyecto, Blockchain y Tecnología de Libro Mayor Distribuido, Foro Económico Mundial, Estados Unidos
John Jordan, Director Ejecutivo, Iniciativas Digitales Emergentes, Provincia de Columbia Británica, Canadá
Kai Wagner, Desarrollo de Asociaciones, Jolocom, Alemania
Kimberley Botwright, Community Lead, Global Trade and Investment, Foro Económico Mundial, Suiza
Saverio Puddu, Tecnología y Protección de Datos, Baker McKenzie, Italia
Notas finales
1. Homan Farahmand, A Technical Primer for Assessing a Blockchain Platform, Gartner, 21 de marzo de 2017.
2. ibid.
3. Tae Il Kang, director general de la Oficina de Información y Asuntos Internacionales del Servicio de Aduanas de Corea, “Korea Pilots
Blockchain Technology as it Prepares for the Future”, WCO News: https://mag.wcoomd.org/magazine/wco-news-88/
korea-pilots-blockchain-technology-as-it-prepares-for-the-future/ (enlace al 26/3/19).
4. Este término fue acuñado por Henrik Hvid Jensen, 2019.
5. Foro Económico Mundial. Digital Identity: En el umbral de una revolución de la identidad digital, 2018.
6. Foro Económico Mundial. La identidad en un mundo digital: Un nuevo capítulo en el contrato social, 2018.
7. Foro Económico Mundial. La identidad en un mundo digital: Un nuevo capítulo en el contrato social, 2018.
8. https://www.nist.gov/ (enlace al 26/3/19).
9. Foro Económico Mundial, Hacer tratos en el ciberespacio: ¿Cuál es el problema?”, 2017.
10. ibid.
11. ISO/IEC 29115:2011
12. Lucy Hakobyan, Iniciativa de movilidad abierta de la cadena de bloques, 2018.
13. https://ipcsa.international/ (enlace al 26/3/19).
14. https://github.com/bcgov/von (enlace al 26/3/19).
15. Preparado por Stuart Davis, Latham & Watkins, 2019.
16. Preparado por Luca Castellani, Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 2019.
17. Global Legal Entity Foundation (GLEIF).
18. Principios del Foro Económico Mundial sobre los sistemas de identidad digital para las personas.
19. Organización Mundial de Aduanas, 2011.
20. Ibíd.
21. Christy Pettey, The Beginner’s Guide to Decentralized Identity, Gartner, 28 de junio de 2018, https://blogs.gartner.com/
smarterwithgartner/author/cpettey/ (enlace al 28/3/19).
22. https://www.gleif.org/en/ (enlace al 26/3/19).
23. Foro Económico Mundial, Un plan para la identidad digital, 2016.
24. https://ipcsa.international/ (enlace al 26/3/19).