BR112020016801A2 - Sistemas e métodos para gerenciar identidades digitais associadas a usuários - Google Patents

Sistemas e métodos para gerenciar identidades digitais associadas a usuários Download PDF

Info

Publication number
BR112020016801A2
BR112020016801A2 BR112020016801-7A BR112020016801A BR112020016801A2 BR 112020016801 A2 BR112020016801 A2 BR 112020016801A2 BR 112020016801 A BR112020016801 A BR 112020016801A BR 112020016801 A2 BR112020016801 A2 BR 112020016801A2
Authority
BR
Brazil
Prior art keywords
iamh
request
computing device
user
trusted
Prior art date
Application number
BR112020016801-7A
Other languages
English (en)
Other versions
BR112020016801B1 (pt
Inventor
Ashfaq Kamal
Charles WALTON
Robert D. Reany
Original Assignee
Mastercard International Incorporated
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mastercard International Incorporated filed Critical Mastercard International Incorporated
Publication of BR112020016801A2 publication Critical patent/BR112020016801A2/pt
Publication of BR112020016801B1 publication Critical patent/BR112020016801B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

sistemas e métodos são providos para gerenciar identidades digitais em múltiplas regiões, por meio de múltiplos provedores de identidade, ao mesmo tempo em que provê aplicação de políticas em conexão com as identidades digitais. um método exemplar inclui receber, em um concentrador de gerenciamento de identidades e acessos (lamh) em uma primeira região, uma solicitação relacionada a uma identidade digital a partir de um concentrador secundário disposto em uma segunda região e verificar uma política associada à identidade digital. em resposta, o lamh solicita pelo menos uma declaração de um usuário, em um aplicativo e/ou site de terceiros, com base na solicitação e provê pelo menos uma declaração a um serviço de valor agregado associado ao lamh para verificação da pelo menos uma declaração. o lamh então transmite um resultado da verificação para terceiros confiáveis associados à solicitação e provê um token, em resposta à solicitação, para um recurso seguro associado a terceiros confiáveis.

Description

“SISTEMAS E MÉTODOS PARA GERENCIAR IDENTIDADES DIGITAIS ASSOCIADAS A USUÁRIOS” REFERÊNCIA CRUZADA A PEDIDOS RELACIONADOS
[001] Este pedido reivindica o benefício e a prioridade do Pedido de Patente U.S. No. 62/633.476 depositado em 21 de fevereiro de 2018. Toda a divulgação do pedido acima é incorporada aqui por referência.
CAMPO
[002] A presente divulgação é geralmente direcionada a sistemas e métodos para gerenciar identidades digitais associadas a usuários e, em particular, a sistemas e métodos para gerenciar identidades digitais em múltiplas regiões, por meio de múltiplos provedores de identidade, ao mesmo tempo em que provê aplicação de políticas relacionadas às identidades digitais.
ANTECEDENTES
[003] Esta seção provê informações básicas relacionadas à presente divulgação que não são necessariamente técnica anterior.
[004] Sabe-se que as pessoas estão associadas a uma variedade de tipos diferentes de contas, incluindo contas de email, contas bancárias e contas de pagamento, para citar algumas. Em conexão com a abertura de contas ou a autenticação ou autorização para acesso às contas, cada pessoa (em geral, um usuário) é identificada ou confirmada em sua identidade. Por exemplo, quando uma pessoa abre uma conta em uma instituição bancária, a instituição bancária normalmente exige que ela apresente identificação, geralmente na forma de uma carteira de motorista ou outro documento emitido pelo governo, antes da abertura da conta, a fim de estabelecer ou confirmar a identidade dessa pessoa.
DESENHOS
[005] Os desenhos aqui descritos são apenas para fins ilustrativos de modalidades selecionadas e nem todas as implementações possíveis, e não se destinam a limitar o escopo da presente divulgação.
[006] FIG. 1 ilustra um sistema exemplar da presente divulgação adequado para uso no gerenciamento de identidades digitais de usuários em múltiplas regiões, através de múltiplos provedores de identidade, ao mesmo tempo em que provê aplicação de políticas em conexão com as identidades digitais e gerenciamento das mesmas;
[007] FIG. 2 é um diagrama de blocos de um dispositivo de computação que pode ser usado no sistema exemplar da FIG. 1;
[008] FIG. 3 é um diagrama de blocos de um dispositivo de comunicação que pode ser usado no sistema exemplar da FIG. 1, que geralmente é consistente com o dispositivo de computação da FIG. 2 e que inclui hardware e/ou software para facilitar as operações de identidade digital em conexão com um concentrador (concentrador) de gerenciamento de identidade e acesso (IAMH);
[009] FIG. 4 inclui um diagrama de fluxo de um método exemplar, que pode ser implementado em conexão com o sistema da FIG. 1, para prover uma pontuação de fraude em conexão com uma interação de usuário em uma terceiros confiáveis e, especificamente, em um aplicativo de terceiros confiáveis;
[010] FIG. 5 inclui um diagrama de fluxo de um método exemplar, que também pode ser implementado em conexão com o sistema da FIG. 1, para prover verificação de declarações relacionadas à validação de documentos e outros atributos de identidade; e
[011] FIG. 6 inclui um diagrama de fluxo de um método exemplar, que pode ser implementado em conexão com o sistema da FIG. 1, para implementar a autenticação biométrica de um usuário.
[012] Os números de referência correspondentes indicam as partes correspondentes nas várias vistas dos desenhos.
DESCRIÇÃO DETALHADA
[013] Modalidades exemplares serão agora descritas mais detalhadamente com referência aos desenhos anexos. A descrição e exemplos específicos incluídos neste documento são destinados apenas a fins ilustrativos e não se destinam a limitar o escopo da presente divulgação.
[014] Quando os usuários tentam solicitar contas, ou acessar contas (por exemplo, para uso em uma transação, etc.), os usuários são autenticados ou autorizados, ou identificados de outra forma, para identidades dos usuários (ou seja, como usuários autorizados). Isso pode ser realizado por meio de documentos de identificação física ou identidades digitais. As identidades digitais são normalmente providas de ou por provedores de identidade (IDPs). O uso das identidades digitais, portanto, geralmente está sujeito a políticas que podem variar de região para região. Exclusivamente, os sistemas e métodos deste documento gerenciam identidades digitais de usuários em múltiplas regiões, por meio de múltiplos IDPs, ao mesmo tempo em que provê a aplicação de políticas (por exemplo, aplicação específica de região, aplicação geral etc.) em conexão com o uso das identidades digitais. Em particular, um concentrador baseado em nuvem ou um concentrador de gerenciamento de identidade e acesso (IAMH), é acoplado a, e em comunicação com vários IDPs, cada um dos quais inclui múltiplas identidades digitais. Os IDPs, geralmente, estão em múltiplas regiões diferentes. E o IAMH inclui concentradores secundários, que são incluídos “no solo” em múltiplas regiões diferentes, em comunicação com os diferentes IDPs. O gerenciamento de políticas, então, está incluído nos IAMHs e/ou nos concentradores secundários associados a eles para garantir a adesão às políticas aplicáveis. Os IAMHs oferecem ainda serviços de valor agregado, que podem estar relacionados ou não com as identidades digitais providas através deles. Esses serviços de valor agregado podem incluir, por exemplo, autenticação biométrica, pontuação de fraude/confiança, verificação de documentos e/ou provas, etc. Dessa maneira, uma solução abrangente para serviços de identidade digital pode ser provida por meio dos IAMHs, em conexão com os concentradores secundários dispostos em diferentes regiões, ao mesmo tempo provendo serviços de valor agregado e adesão às políticas associadas às identidades digitais e informação de identificação pessoal incluída (por exemplo, nas diferentes regiões, etc.).
[015] FIG. 1 ilustra um sistema exemplar 100, no qual um ou mais aspectos da presente divulgação podem ser implementados. Embora o sistema 100 seja apresentado em um arranjo, outras modalidades podem incluir as partes do sistema 100 (ou outras partes) dispostas de outra forma, dependendo, por exemplo, de diferentes determinações de região e/ou IDPs, diferentes arquiteturas de concentrador, diferentes arquiteturas de concentrador, acesso de terceiros confiáveis aos concentradores associados aos IDPs, as regiões particulares incluídas, políticas de privacidade específicas em questão (por exemplo, requisitos de privacidade, requisitos de gerenciamento de dados etc.), etc.
[016] O sistema 100 geralmente inclui um concentrador de gerenciamento de identidade e acesso (IAMH) 102, que é provido na nuvem, como um serviço baseado em nuvem, pelo qual o IAMH 102 e seus serviços são um inquilino do dispositivo de computação em nuvem (ou seja, um ou mais dispositivos de computação em rede etc.). O IAMH 102 é acoplado a múltiplos terceiros confiáveis 104 e 106 e a múltiplos IDPs 108 e 110. O IAMH 102, os terceiros confiáveis 104 e 106 e os IDPs 108 e 110 incluem um dispositivo de computação 200, que é mostrado em detalhes em FIG. 2 (e descrito em mais detalhes a seguir).
[017] Nesta modalidade exemplar, os terceiros confiáveis 104 e 106 podem incluir, por exemplo, qualquer entidade e/ou pessoa que pretenda confiar na identidade de um usuário para um ou mais propósitos. A entidade ou pessoa pode incluir instituições bancárias, instituições de investimento, comerciantes, provedores de telecomunicações, provedores de serviços médicos, provedores de seguros,
entidades governamentais, rede de pagamentos, etc. Os um ou mais propósitos podem estar relacionados a um ou mais acordos e/ou interações comerciais, nos quais o usuário é autenticado ou autorizado (por exemplo, autenticado em uma conta de pagamento etc.). De um modo mais geral, os terceiros confiáveis 104 e 106 deste documento são configurados para consumir os serviços de identidade digital associados aos IAMH 102 e IDPs 108 e 110 aqui descritos.
[018] Em conexão com isso, os terceiros confiáveis 104 e 106 podem hospedar aplicativos/sites baseados em declarações, onde uma declaração é uma declaração que uma entidade ou usuário faz sobre si mesma para estabelecer o acesso. Como mostrado, cada uma dos terceiros confiáveis 104 e 106, novamente, inclui um dispositivo de computação 200, que é mostrado em detalhes na FIG. 2 (e descrito em mais detalhes a seguir). Nesta modalidade exemplar, os terceiros confiáveis 104 inclui um comerciante e, especificamente, um site comercial no qual um usuário pode tentar uma transação de conta de pagamento, e os terceiros confiáveis 106 é um comerciante diferente, que oferece um aplicativo móvel para interação com o comerciante, que está instalado e ativo em um dispositivo de comunicação (por exemplo, dispositivo de comunicação 140, etc.) associado a um usuário. Cada um dos terceiros confiáveis 104 e 106 pode solicitar, a partir do IAMH 102, autenticação, autorização e/ou confirmação do usuário específico que interage com ele (ou um atributo da identidade do usuário ou uma conta associada), ou também o retorno de um atributo da identidade do usuário.
[019] Além disso, os IDPs 108 e 110 são configurados para prover e/ou oferecer serviços de identidade digital, nos quais os IDPs são configurados para criar, adquirir, gerenciar, manter e/ou armazenar as identidades digitais para acesso, enquanto proveem serviços de autenticação para os terceiros confiáveis 104 e 106, como aqui descritos. Os IDPs 108 e 110 podem ser serviços e/ou entidades independentes. Além disso, ou alternadamente, os IDPs 108 e 110 podem ser incorporados, no todo ou em parte, com outras entidades, tal como, por exemplo, uma rede de pagamentos ou uma instituição bancária, etc. Em um exemplo específico, um IDP de linguagem de marcação de afirmação de segurança (SAML) é configurado para emitir uma afirmação de autenticação SAML em relação a um perfil SAML definido e/ou baseado em padrão, enquanto um OpenID IDP é configurado para prover tokens de identidade (conforme descrito abaixo) com um formato JavaScript Object Notation (JSON). Como mostrado, cada um dos IDPs 108 e 110, novamente, inclui um dispositivo de computação 200, que é mostrado em detalhes na FIG. 2 (e descrito em mais detalhes a seguir).
[020] Com referência continuada à FIG. 1, o IAMH 102 é configurado como um concentrador baseado em nuvem (por exemplo, oferecido na Microsoft® Azure® Cloud etc.) e inclui e/ou está associado a uma camada de negócios de plataforma 112, configurada para expor um ou mais serviços baseados em API para websites de terceiros confiáveis, aplicativos móveis e/ou aplicativos de software como serviço (SaaS). Mais particularmente, o IAMH 102 inclui um proxy agnóstico de nuvem para identidade núcleo e microsserviços de gerenciamento de acesso, por exemplo, providos por uma rede de pagamento (por exemplo, rede de pagamento Mastercard®, etc.) ou outras entidades, etc. Em conexão a isto, o IAMH 102 é adicionalmente configurado para criar e/ou habilitar subconcentradores ou concentradores secundários (que podem ser cópias ou quase cópias do IAMH 102) que são específicos de região (por exemplo, país, etc.). O IAMH 102 é configurado para adicionalmente habilitar a coexistência de múltiplos concentradores secundários ou subconcentradores para uma determinada região e/ou para habilitar a comunicação de concentradores de bordas com os concentradores secundários por meio de uma ou mais estruturas de troca de mensagens (por exemplo, uma estrutura de mensagens Mastercard®, etc.).
[021] A camada de negócios de plataforma 112 é configurada para expor interfaces de programação de aplicativos (APIs), usadas pelos sites de terceiros e aplicativos móveis para solicitar serviços como pontuação de fraude, retorno de dados de atributos de identidade e tokenização de identidades digitais, etc., a camada de negócios de plataforma 112 é configurada para expor, por exemplo, uma API para solicitar verificação de identidade e/ou autenticação, uma API para solicitar pontuação de fraude, uma API para solicitar verificação de identificação de documento, uma API para solicitar nova abertura de conta e outras APIs adequadas consistentes com a descrição aqui. Deve ser apreciado que, como mostrado na FIG. 1, a camada de negócios de plataforma 112 inclui um dispositivo de computação 200, que é novamente mostrado em detalhes na FIG. 2 (e descrito em mais detalhes a seguir).
[022] As APIs associadas à camada de negócios de plataforma 112 proveem aplicativos de terceiros confiáveis (por exemplo, aplicativos móveis providos por ou em nome de terceiros confiáveis e para uso por um usuário etc.) com uma interface abstrata para comunicar políticas e trocar declarações com o IAMH 102 para autenticação e/ou autorização de usuário (por exemplo, declarações como nome, endereço para correspondência, idade, número de segurança social, etc.). O IAMH 102 é configurado, de maneira geral, para prover serviços de identidade como serviço (IDaaS) (por meio de interações com os IDPs 108 e 110), permitindo assim que os desenvolvedores dos terceiros confiáveis 104 e 106 se concentrem no desenvolvimento de objetivos de negócios específicos e/ou funcionalidade dos sites e aplicativos, enquanto interage com o IAMH 102, através da camada de negócios 112 para prover IDaaS.
[023] Nesta modalidade exemplar, a camada de negócios de plataforma 112 inclui uma camada de orquestração de API 114, que é configurada para inicializar serviços nos serviços de rede núcleo (por exemplo, serviços de rede de pagamento (por exemplo, tokenização, prova de identidade, pontuação de fraude etc.), etc.) e para prover uma resposta uniforme de volta para determinados terceiros confiáveis 104 ou 106. Além disso, a camada de orquestração de API 114 é configurada para impor políticas, definidas pelos terceiros confiáveis 104 e 106, em solicitações de entrada para serviços relacionados à identidade digital, com base em, por exemplo, pontuação de fraude de dados de dispositivo e/ou usuário, etc. Em um exemplo, através da camada de orquestração de API 114, o IAMH 102 é configurado para usar uma pontuação de fraude para decidir como lidar com a autenticação do consumidor relacionada a essas solicitações. Se a pontuação de fraude atender a um limite (por exemplo, a pontuação de fraude é alta etc.), o IAMH 102 pode ser configurado para decidir prover autenticação baseada em risco e sem atrito do usuário sem promover o usuário para qualquer autenticação explícita. Se a pontuação de fraude não atender a um limite (por exemplo, a pontuação de fraude for baixa etc.), o IAMH 102 pode ser configurado para invocar a autenticação multifatorial (MFA) para o usuário.
[024] Além disso, a camada de negócios de plataforma 112 inclui uma camada de negócios de identidade digital 113, que integra e/ou interage com os terceiros confiáveis 104 e 106 e/ou serviços relacionados ao IAMH 102 e/ou serviços de valor agregado (por exemplo, tokenização, serviços de pontuação de fraude e gerenciamento de chaves, etc.). A camada de negócios de plataforma 112 também inclui um microsserviço de gerenciamento de identidade e acesso 115, que é configurado como um proxy agnóstico de nuvem para os principais serviços de gerenciamento de identidade e acesso providos por meio do IAMH 102, por exemplo. E, a camada de negócios de plataforma 112 inclui ainda um serviço comum de rede e fraude 117, que provê proxy comum a outras redes e serviços de fraude e que é configurado para utilizar serviços compartilhados para prover latência e velocidade aprimoradas e/ou melhores.
[025] Em geral, nesta modalidade exemplar, a camada de negócios de plataforma 112 é ilustrada, implementada e/ou incorporada no dispositivo de computação 200, mas pode ser provida como uma implementação baseada em nuvem ou de outra forma em outras modalidades. Além disso, a camada de negócios de plataforma 112 interage com o IAMH 102 através de uma plataforma de mensagens 119, como, por exemplo, uma plataforma de mensagens de rede de pagamento (por exemplo, plataforma de mensagens Mastercard®, etc.).
[026] Com referência adicional à FIG. 1, o IAMH 102 inclui múltiplos módulos: uma orquestração de solicitação 116, um gerenciador de políticas 118 para impor as políticas associadas ao IAMH 102, em que o gerenciador de políticas 118 pode ser configurado para definir o controle de acesso baseado em função para inquilinos, definir perfis de usuário e privilégios de acesso e/ou para definir regras para tokens de acesso para serviço digital (por exemplo, tempo de vida, persistência, controle de acesso ao domínio etc.); uma federação e assinatura única (SSO) 120; serviços de diretório 122; um gerenciamento de perfil de usuário 124; um mecanismo de provisionamento 126 para usuários e parceiros de negócios de provisionamento / de-provisionamento e também para criar inquilinos e usuários; uma emissão de crédito e validação de declarações 128; e uma estrutura de mensagens de entrada/saída 130.
[027] O IAMH 102 também inclui um módulo para serviços de valor agregado 132, que inclui uma variedade de serviços que podem ser empregados em conexão com os serviços de identidade digital providos através do IAMH 102. Os serviços de valor agregado 132 podem incluir, sem limitação, serviços de token (por exemplo, Serviço de Permissão Digital Mastercard (MDES), etc.); serviços de pontuação de dados de risco e/ou fraude; serviços de gerenciamento de chaves (por exemplo, relacionados à criptografia, assinaturas etc.) configurados para emitir certificados para autenticação IDP, emitir tokens de acesso ao serviço e/ou acessar credenciais para serviços de diretório; serviços de segurança de API; serviços de dados ACH;
serviços de dados à prova de identidade; serviços de autenticação biométrica; serviços de autorização; serviços de gerenciamento de consentimento; abertura de serviços bancários, etc. Por exemplo, e sem limitação, onde os terceiros confiáveis 104 incluem dados de informações de identificação pessoal (PII) sobre múltiplos usuários, os terceiros confiáveis 104 podem pretender tokenizar pelo menos uma porção dos dados de PII usando serviços de token (em geral, um dos serviços de valor agregado 132). Posteriormente, os usuários podem usar um armazenamento de dados pessoais tokenizado para fazer declarações de atributos de identidade para outro IDP e/ou terceiros confiáveis.
[028] O IAMH 102 é aqui referido como o IAMH primário, através do qual os vários serviços oferecidos por meio dele (ou módulos associados a ele) são disponibilizados em múltiplas regiões diferentes (por exemplo, Região A e Região B na FIG. 1, etc.). Em conexão com isso, o IAMH 102 primário é configurado para instanciar e/ou criar concentradores secundários (ou subsidiários/subconcentradores) que são dedicados para uma região específica das regiões e localizados nessas regiões. Em particular, o sistema ilustrado 100 inclui dois concentradores secundários 134 e 136, cada um dos quais é instanciado e/ou criado pelo IAMH 102, e cada um dos quais é acoplado e/ou em comunicação com o IAMH 102 e também o IDP 108 e o IDP 110, respectivamente. O concentrador secundário 134 está localizado e dedicado à Região A, enquanto o concentrador secundário 136 está localizado e dedicado à Região B (onde se entende que o IAMH 102 está em uma região diferente da Região A e da Região B). Deve-se considerar, no entanto, que concentradores secundários adicionais podem ser incluídos em outras modalidades de sistemas.
[029] Embora baseado em nuvem, o concentrador secundário 134 é determinado como "no solo" na Região A e o concentrador secundário 136 é determinado como "no solo" na Região B, em que os concentradores 134 e 136 estão fisicamente presente no hardware localizado nas respectivas Regiões A e B. As Regiões A e B podem ser definidas por diferentes códigos postais, estados, territórios, províncias, países, sindicatos, continentes ou outras delimitações geográficas, etc. Dada a presença de regiões cruzadas dos concentradores secundários 134 e 136 (em que cada concentrador está localizado em uma região diferente), o IAMH 102 primário pode ser configurado para, assim, impor políticas de terceiros confiáveis relacionadas a uma solicitação específica (por exemplo, autenticação, autorização, etc.) dentro da dada Região das Regiões A e B, conforme apropriado (segundo o qual as diferentes Regiões A e B podem ser associadas a diferentes políticas, etc.). Dessa maneira, os concentradores secundários 134 e 136 são capazes de comunicar dados aos respectivos IDPs 108 e 110, mesmo quando políticas locais, ou políticas em geral, proíbem transações de dados fora do solo. Deve ser apreciado que, embora apenas dois IDPs sejam mostrados na FIG. 1, múltiplos IDPs podem estar localizados nas Regiões A e B e ser acoplados e/ou estarem em comunicação com os concentradores secundários 134 e 136. Em pelo menos uma modalidade, os concentradores secundários 134 e 136 (e/ou um ou mais adicionais concentradores secundários) podem ser acoplados a serviços do governo e/ou do setor privado para acessar um ou mais IDPs associados a eles. Os serviços governamentais podem, em uma ou mais modalidades, definir níveis de especificação ou garantia de identidade, segurança e privacidade, estrutura de confiança e requisitos de certificação, e diretrizes para esses serviços em geral e/ou dentro de uma região associada ao governo.
[030] Dito isto, em geral, os concentradores secundários 134 e 136 são cópias do IAMH 102 nas regiões locais específicas (isto é, regiões A e B). Os concentradores secundários 134 e 136 podem incluir tanto, ou tão pouco quanto, o IAMH 102, conforme necessário, requerido ou desejado, na dada Região local. Por exemplo, o concentrador secundário 134 pode incluir uma instanciação dos serviços de valor agregado 132 (e de cada um dos serviços associados), incluindo, por exemplo, pontuação de dados de fraude, além dos outros serviços de valor agregado mencionados acima, enquanto o concentrador secundário 136 pode incluir uma instanciação para apenas uma parte dos serviços de valor agregado 132, que não inclui serviços de pontuação de dados de fraude, tal que o concentrador secundário 136 confia no IAMH 102 para serviços de pontuação de fraude (e outros serviços, conforme necessário ou desejado). Deve-se considerar que os diferentes concentradores podem incluir uma variedade de componentes diferentes, dependendo, por exemplo, de políticas de dados diferentes associadas às diferentes regiões, disponibilidade de serviços, alocação de recursos para instanciações de serviços, etc.
[031] Além disso, o IAMFI 102 é configurado para prover funções de controle de acesso e assinatura única (SSO) entre empresas cruzadas para websites de terceiros confiáveis, aplicativos móveis e aplicativos SaaS de Nuvem, através do uso de protocolos baseados em padrões como: linguagem de marcação de afirmação de segurança (SAML), OpenID Connect e/ou OAUTH. Além disso, o IAMH 102 inclui e/ou está associado a um módulo de API de Transferência Representacional de Estado (REST) 138 (indicado REST API na FIG. 1), pelo qual o IAMH 102 é configurado para fazer interface com outras interfaces baseadas em REST para dados de entrada e saída. Dessa maneira, o módulo REST API 138 permite que os serviços internos do IAMH 102 (por exemplo, serviços de verificação de documentos, etc.) façam interface com outros serviços externos (por exemplo, serviços de Blockchain, etc.) por meio de interfaces baseadas em REST expostas aos serviços internos e externos.
[032] Deve-se considerar que cada um do IAMH 102, os serviços de valor agregado 132 e/ou o módulo REST API 138 inclui um conjunto de ferramentas API, que inclui uma API plugável para IDPs de bordo, provedores de atributos de dados e outros serviços em uma ou mais interfaces baseadas em REST ou outras interfaces adequadas.
[033] Além disso, o dispositivo de comunicação 140 no sistema 100 está associado a um usuário (não mostrado) (por exemplo, onde o dispositivo de comunicação 140 é um dispositivo pessoal do usuário, e não um dispositivo publicamente disponível e/ou compartilhado; etc.), que está associado a uma identidade. Em geral, a identidade indica e/ou inclui (sem limitação) um ou mais atributos, como, por exemplo, um nome do usuário, um endereço do usuário, uma data de nascimento do usuário, informações de contato do usuário, informações de número de previdência social ou outro número de identificação governamental para o usuário etc. O dispositivo de comunicação 140 é ilustrado em mais detalhes na FIG. 3 (que é discutido em mais detalhes abaixo).
[034] Deve ser apreciado que o IAMH 102 e as várias partes do sistema 100 mostradas na FIG. 1 são ainda configurados para executar as operações descritas abaixo com referência aos métodos das FIGS. 4-6. Na descrição dos métodos, deve-se considerar que o IAMH 102 e/ou qualquer um dos concentradores secundários 134 e 136 podem ser configurados para executar as operações descritas. Além disso, no início dos métodos descritos abaixo, deve-se considerar que o IAMH 102 (inclusive a camada de negócios de plataforma 112) e/ou os concentradores secundários 134 e 136 podem impor e/ou aplicar as políticas providas pelos terceiros confiáveis 104 e 106 e/ou os IDPs 108 e 110, segundo os quais questões de privacidade, requisitos de solo e/ou outras considerações relacionadas à PII, identidades digitais ou outros dados incluídos no sistema são contabilizados e/ou gerenciados em conexão com os métodos exemplares. Deve-se considerar ainda que o IAMH 102 e/ou os concentradores secundários 134 e 136 podem ter permissão para comunicar e/ou transmitir dados entre si, quando não restritos pelas políticas dos terceiros confiáveis 104 e 106 e/ou os IDPs 108 e 110 de fazê-lo (conforme aplicado por isso).
[035] FIG. 2 ilustra um dispositivo de computação exemplar 200 que pode ser usado no sistema 100 da FIG. 1. O dispositivo de computação 200 pode incluir, por exemplo, um ou mais servidores, estações de trabalho, computadores pessoais, laptops, tablets, smartphones, etc. Além disso, o dispositivo de computação 200 pode incluir um único dispositivo de computação ou pode incluir múltiplos dispositivos de computação localizados nas proximidades ou distribuídos por uma região geográfica, desde que os dispositivos de computação sejam configurados especificamente para funcionar como descrito aqui. Na modalidade exemplar da FIG. 1, e como descrito acima, o IAMH 102 (e/ou sua subparte do mesmo), os terceiros confiáveis 104 e 106, os IDPs 108 e 110 e a camada de negócios de plataforma 112 são ilustrados como incluindo ou sendo implementados no dispositivo de computação 200, acoplados a (e em comunicação com) uma ou mais redes. Além disso, o dispositivo de comunicação 140 também pode ser considerado um dispositivo de computação (ou como incluindo um dispositivo de computação) geralmente consistente com o dispositivo de computação 200 para fins da descrição aqui. Com isso dito, o sistema 100 não deve ser considerado limitado ao dispositivo de computação 200, como descrito abaixo, pois diferentes dispositivos de computação e/ou arranjos de dispositivos de computação podem ser usados em outras modalidades. Além disso, diferentes componentes e/ou arranjos de componentes podem ser usados em outros dispositivos de computação.
[036] Com referência à FIG. 2, o dispositivo de computação exemplar 200 inclui um processador 202 e uma memória 204 acoplada a (e em comunicação com) o processador 202. O processador 202 pode incluir uma ou mais unidades de processamento (por exemplo, em uma configuração multinúcleo, etc.) Por exemplo, o processador 202 pode incluir, sem limitação, uma unidade central de processamento (CPU), um microcontrolador, um processador RISC, um circuito integrado de aplicação específica (ASIC), um dispositivo de lógica programável (PLD), um arranjo de portas e/ou qualquer outro circuito ou processador capaz das funções aqui descritas.
[037] A memória 204, como aqui descrito, é um ou mais dispositivos que permitem que dados, instruções etc. sejam armazenados nela e recuperados a partir dela. A memória 204 pode incluir uma ou mais mídias de armazenamento legíveis por computador, tais como, sem limitação, memória dinâmica de acesso aleatório (DRAM), memória estática de acesso aleatório (SRAM), memória somente leitura (ROM), memória somente leitura programável apagável (EPROM), dispositivos de estado sólido, unidades flash, CD-ROMs, pen drives, disquetes, fitas, discos rígidos e/ou qualquer outro tipo de mídia legível por computador, física ou tangível, volátil ou não volátil. A memória 204 pode ser configurada para armazenar, sem limitação, biometria (por exemplo, imagens faciais (por exemplo, selfies, etc., impressões digitais, etc.), referências biométricas, imagens, chaves, pares de chaves, registros de identidade, identidades digitais (e atributos dos mesmos) políticas, informações e dados de serviços e/ou outros tipos de dados (e/ou estruturas de dados) adequados para uso, conforme descrito aqui. Além disso, em várias modalidades, instruções executáveis por computador podem ser armazenadas na memória 204 para execução pelo processador 202 para fazer com que o processador 202 execute uma ou mais das operações descritas aqui, tal que a memória 204 seja uma mídia de armazenamento legível por computador, física, tangível, e não transitória. Tais instruções frequentemente melhoram a eficiência e/ou o desempenho do processador 202 e/ou outros componentes do sistema de computador configurados para executar uma ou mais das várias operações aqui contidas. Deve ser apreciado que a memória 204 pode incluir uma variedade de memórias diferentes, cada uma implementada em uma ou mais das operações ou processos aqui descritos.
[038] Na modalidade exemplar, o dispositivo de computação 200 também inclui um dispositivo de saída 206 que é acoplado a (e em comunicação com) o processador 202. O dispositivo de saída 206 envia informações (por exemplo, alertas para prover biometria, etc.), visualmente ou audivelmente, por exemplo, para um usuário do dispositivo de computação 200 (por exemplo, um usuário associado ao dispositivo de comunicação 140, etc.), etc. E, várias interfaces podem ser exibidas no dispositivo de computação 200 e, em particular, no dispositivo de saída 206, para exibir certas informações. O dispositivo de saída 206 pode incluir, sem limitação, uma unidade de apresentação como uma tela de cristal líquido (LCD), uma tela de diodo emissor de luz (LED), uma tela de LED orgânico (OLED), uma tela de "tinta eletrônica", etc. ou altofalantes, outros dispositivos de computação, etc. Em algumas modalidades, o dispositivo de saída 206 pode incluir vários dispositivos.
[039] Além disso, o dispositivo de computação 200 inclui um dispositivo de entrada 208 que recebe entradas a partir do usuário (ou seja, entradas de usuário) do dispositivo de computação 200, tais como, por exemplo, imagens de documentos físicos, imagens do usuário (por exemplo, imagens faciais, etc.) e/ou biometria para o usuário etc., em resposta a solicitações do aplicativo móvel, conforme descrito abaixo. O dispositivo de entrada 208 pode incluir um único dispositivo de entrada ou vários dispositivos de entrada. O dispositivo de entrada 208 é acoplado a (e está em comunicação com) o processador 202 e pode incluir, por exemplo, um ou mais de um teclado, um dispositivo ponteiro, um mouse, uma caneta stylus, uma câmera, um leitor biométrico (por exemplo, scanner de impressão digital, etc.), um painel sensível ao toque (por exemplo, uma almofada de toque ou uma tela de toque, etc.), outro dispositivo de computação e/ou um dispositivo de entrada de áudio. Em várias modalidades exemplares, uma tela de toque, tal como a incluída em um tablet, smartphone ou dispositivo similar, pode se comportar tanto como o dispositivo de saída 206 quanto como um dispositivo de entrada 208.
[040] Além disso, o dispositivo de computação ilustrado 200 também inclui uma interface de rede 210 acoplada a (e em comunicação com) o processador 202 e a memória 204. A interface de rede 210 pode incluir, sem limitação, um adaptador de rede com fio, um adaptador de rede sem fio (por exemplo, um adaptador NFC, um adaptador de radiofrequência (RF), um adaptador Bluetooth™ etc.), um adaptador de rede móvel ou outro dispositivo capaz de se comunicar com uma ou mais redes diferentes aqui e/ou com outros dispositivos aqui descritos. Além disso, em algumas modalidades exemplares, o dispositivo de computação 200 pode incluir pelo menos um processador (por exemplo, o processador 202, etc.), pelo menos uma memória (por exemplo, a memória 204, etc.) e/ou uma ou mais redes interfaces (por exemplo, interface de rede 210, etc.) incluídas ou incorporadas no ou com pelo menos um processador.
[041] FIG. 3 ilustra um diagrama de blocos do dispositivo de comunicação 140 e, em particular, um diagrama funcional de certos componentes providos no software e hardware. Como explicado acima, o dispositivo de comunicação 140 pode incluir um tablet, smartphone, laptop, servidor ou outro dispositivo de computação (por exemplo, consistente com o dispositivo de computação 200). Em geral, o dispositivo de comunicação 140 pode incluir um dispositivo de comunicação portátil, que é portátil com um usuário para ser portado (convenientemente) de um lugar para outro.
[042] Como mostrado na FIG. 3, o dispositivo de comunicação 140 inclui um kit de desenvolvimento de software móvel (SDK) 302 integrado e/ou incorporado em um ou mais aplicativos móveis no dispositivo de comunicação 140 (por exemplo, aplicativo móvel 318, etc.). Por exemplo, o SDK 302 pode ser incluído em um aplicativo de serviços financeiros, tal como, por exemplo, um aplicativo móvel de banco, etc. ou outro aplicativo, no qual a identidade do usuário associado ao dispositivo 140 possa ser autenticada, ou uma operação pode ser autorizada com base em uma identidade e/ou atributo de identidade do usuário, etc. O SDK 302 é provido por e/ou a partir do hospedeiro do IAMH 102, por exemplo, para uso por um desenvolvedor associado a esse ou mais aplicativos móveis (como o aplicativo móvel 318), em que os recursos do SDK 302 são incorporados aos um ou mais aplicativos para uso no dispositivo de comunicação 140.
[043] Nesta modalidade exemplar, o SDK 302 inclui um módulo SDK API 304 para uso na chamada de uma ou mais APIs associadas ao IAMH 102 (via camada de negócios 112) e um módulo de hardware seguro 306 entre o SDK 302 (por exemplo, SDK de criptografia série branca (WBC), etc.) e um ambiente de execução confiável (TEE), que é incluído no sistema operacional do dispositivo de comunicação 140. O TEE é uma área segura do processador principal do sistema operacional em que código e dados carregados no interior são protegidos com relação à sua integridade e confidencialidade. Isso pode ser provido por meio de implementações de software e/ou hardware no dispositivo de comunicação 140, de modo que aplicativos confiáveis executados no TEE possam acessar o processador principal e a memória, enquanto o hardware inibe o acesso por aplicativos em execução no sistema operacional principal. PII de usuário, tais como referências biométricas e outros atributos da identidade digital (por exemplo, números de ID governamental, data de nascimento, nome, endereço etc.) do usuário, podem ser armazenados no dispositivo de comunicação 140 no TEE.
[044] O SDK 302 inclui ainda um módulo de segurança e criptografia de dispositivo 308, que é configurado para implementar a lógica de segurança no nível de mensagem (além da segurança da camada de transporte) entre o dispositivo de comunicação 140 e o IAMH 102 (e, especificamente, um back-end móvel incluído nele). O módulo de segurança e criptografia de dispositivo 308 também é configurado para interagir com o módulo de hardware seguro 306 (por exemplo, o TEE e um WBC SDK, etc.), provendo, assim, funções de criptografia baseadas em hardware, como geração de chave simétrica, geração de pares de chaves públicas-
privadas (por exemplo, de acordo com o protocolo Diffie-Hellman da curva elíptica (ECDH), o protocolo Rivest-Shamir-Adleman (RSA) etc.), criptografia, decriptografia e atestado de mensagens, etc.
[045] Além disso, como mostrado na FIG. 3, o SDK 302 inclui um módulo de fusão de código 310 para integração de múltiplos SDKs, incluindo um módulo de impressão digital e pontuação de fraudes 312, um módulo biométrico 314 e um módulo de verificação de integridade de documentos 316.
[046] O módulo de impressão digital e pontuação de fraude de dispositivo 312 é configurado para se comunicar com os respectivos serviços no IAMH 102 ou concentradores secundários 134 e/ou 136 (conforme necessário ou com base na localização do dispositivo de comunicação 140). Em resumo, o módulo 312 é configurado para chamar os respectivos serviços por meio de uma API, em que o SDK 302 atua no dispositivo de comunicação 140 como um front end para os respectivos serviços (conforme vinculado aos recursos de identidade digital aqui descritos). O módulo biométrico 314 é configurado para capturar uma biometria do usuário, no dispositivo de comunicação 140 (ou outro dispositivo), para extrair características da biometria (por exemplo, via extração de característica de impressão digital, etc.) e, em seguida, para comparar a biometria (ou recurso (s) biométrico (s)) com um ou mais dados biométricos de referência armazenados e/ou incluídos no ETE. E, o módulo de verificação de integridade do documento 316 é configurado para verificar a integridade de um documento, comunicando-se com os serviços específicos de valor agregado 132 no IAMH 102 ou em um ou mais dos concentradores secundários 134 e/ou 136 (conforme necessário ou com base na localização do dispositivo de comunicação 140).
[047] Referindo-se novamente à FIG. 1, em resposta a uma solicitação de acesso de usuário em terceiros confiáveis, tal como, por exemplo, os terceiros confiáveis 106, a camada de negócios de plataforma 112 é configurada para processar as políticas dos terceiros confiáveis e as mensagens de federação e SSO entre o aplicativo de terceiros confiáveis (incluído nos terceiros confiáveis 106) e o IAMH 102. A solicitação pode estar relacionada a uma solicitação para autenticar o usuário, uma solicitação para autorizar o usuário e/ou uma solicitação para prover um atributo da identidade digital do usuário (por exemplo, onde o atributo pode ser relevante ou utilizável em uma interação entre o usuário e a terceiros confiáveis 106, etc.).
[048] O IAMH 102 (ou um ou mais dos concentradores secundários 134 e 136, dependendo da localização do usuário, etc.) é configurada para receber a solicitação do usuário e/ou dos terceiros confiáveis 106 (via camada de negócios de plataforma 112) e para validar as políticas de terceiros confiáveis. O IAMH 102 (ou um ou mais dos concentradores secundários 134 e 136) é adicionalmente configurado para coletar declarações de identidade, a partir dos provedores de declarações (por exemplo, via módulo REST API 138, etc.), com base nas políticas e, em seguida, emitir tokens de autenticação e/ou autorização de identidade. Além disso, ou alternativamente, o IAMH 102 (ou um ou mais dos concentradores secundários 134 e 136) pode ser configurado para prover declarações adicionais de volta para o aplicativo de terceiros confiáveis. As políticas podem ser validadas ou aplicadas pelo IAMH 102 (ou pelos concentradores secundários 134 e/ou 136) com base nas políticas de controle de dados, tal como uma limitação "no solo" etc., em que uma solicitação do usuário e/ou dos terceiros confiáveis 106 relacionada a dados associados a uma identidade digital do usuário é recusada quando viola as políticas (por exemplo, no aplicativo de terceiros confiáveis ou, em outros exemplos, no site de terceiros confiáveis etc.).
[049] O aplicativo de terceiros confiáveis pode utilizar serviços adicionais, por exemplo, os serviços de valor agregado 132, através do IAMH 102 (ou os concentradores secundários 134 e/ou 136). Os serviços de valor agregado 132 serão baseados em um ou mais ativos de identidade digital e plataforma de pagamento núcleo, configurados para prover declarações respectivas por meio do módulo 138 da REST API (por exemplo, serviços REST, etc.) em resposta à solicitação do aplicativo de terceiros confiáveis. Além disso, o módulo REST API 138 pode ser configurado para prover serviços REST personalizados e/ou provedores de declarações que não estão incluídos nos serviços de valor agregado 132.
[050] Na modalidade exemplar da FIG. 1, os serviços de valor agregado 132 incluem um serviço de pontuação de fraude de dados, que é configurado para prover detecção de fraude, pontuação de fraude e soluções de fraude para mitigar a fraude de identidade (por exemplo, fraude de identidade sintética, etc.). Em particular, o serviço de pontuação de fraude é configurado para gerar e/ou prover declarações com base na pontuação de confiança do dispositivo de comunicação 140, do usuário e/ou dos dados do contexto de autenticação. O serviço de pontuação de fraude é configurado para consumir dados capturados do dispositivo de comunicação 140, através do SDK 302 da FIG. 3, por exemplo (por exemplo, SDK para JavaScript® etc.). Por meio dos serviços de pontuação de fraude, o IAMH 102 pode ser configurado para cooperar com os terceiros confiáveis (por exemplo, terceiros confiáveis 106, etc.), por exemplo, para prover interações do usuário geralmente sem atrito (por exemplo, autenticação sem atrito (por exemplo, atividades limitadas exigidas pelo usuário), etc.) quando a pontuação de fraude ou confiança tiver um valor específico ou acima ou abaixo de um limite particular e, em seguida, solicitar/exigir autenticação explícita quando a pontuação de fraude ou confiança for de valor particular diferente ou acima ou abaixo do limite específico ou de um limite diferente. Além disso, a pontuação de fraude ou confiança pode ser passada, pelo IAMH 102, para os terceiros confiáveis (por exemplo, terceiros confiáveis 106, etc.), por exemplo, como metadados adicionais em conexão com uma autenticação explícita.
[051] FIG. 4 ilustra um método exemplar 400 para uso no fornecimento de uma pontuação de fraude em conexão com uma interação de usuário em terceiros confiáveis e, especificamente, um aplicativo de terceiros confiáveis. O método exemplar 400 é descrito aqui em conexão com o sistema 100 e pode ser implementado, no todo ou em parte. Além disso, para fins de ilustração, o método exemplar 400 também é descrito com referência ao dispositivo de computação 200 da FIG. 2 e o dispositivo de comunicação 140 (como também ilustrado na FIG. 3). No entanto, deve ser apreciado que o método 400, ou outros métodos descritos neste documento, não estão limitados ao sistema 100, ao dispositivo de computação 200 ou ao dispositivo de comunicação 140. E, inversamente, aos sistemas, estruturas de dados, dispositivos de computação e dispositivos de comunicação aqui descritos não estão limitados ao método exemplar 400.
[052] No início, através do dispositivo de comunicação 140, o usuário acessa e tenta fazer login em um site, em 402 (por exemplo, através do aplicativo móvel 318 ou de outro modo etc.), onde o site está associado a terceiros confiáveis 106 integrados ao IAMH 102. A solicitação de login é direcionada, através do site, para o IAMH 102. Em 404, o IAMH 102 verifica a política ou políticas associadas a terceiros confiáveis 106, que neste exemplo são aplicadas pelo IDP 110 (em Região B). Então, em 406, o IAMH 102 mostra ao usuário, através do site (por exemplo, no dispositivo de saída 206 do dispositivo de comunicação 140, etc.), uma interface de usuário (UI) para capturar declarações para o IDP 110 (por exemplo, fazer login de credenciais para o site associado a terceiros confiáveis 106, um ou mais aspectos da identidade digital do usuário, etc.), solicitando assim as declarações do usuário. Os terceiros confiáveis 106, através do site, no dispositivo de comunicação 140, em seguida, capturam as declarações, em 408 (por exemplo, através do dispositivo de entrada 208 do dispositivo de comunicação 140, etc.), do usuário e comunica as declarações, em 410, a IAMH 102. Deve-se considerar que, se a ação solicitada pelo usuário violar a política determinada, o IAMH 102 pode simplesmente prover um declínio ao usuário.
[053] Em 412, o IAMH 102 transmite as declarações para o IDP 110 (por exemplo, através do concentrador secundário 136, etc.). Em resposta, o IDP 110 verifica as declarações recebidas, em 414 (por exemplo, incluindo um ou mais aspectos da identidade digital do usuário, etc.) e (opcionalmente) provê declarações de saída (por exemplo, resultados da verificação etc.), em 416. Em seguida, em 418, o IDP 110 envia um token de autenticação para o IAMH 102 (por exemplo, através do concentrador secundário 136 etc.), que, por sua vez, mostra ao usuário via interface do usuário do site (ou outra UI), as declarações de pontuação de fraude, em 420 (por exemplo, uma solicitação de dados de impressão digital, etc.). Neste exemplo, as declarações de pontuação de fraude (por exemplo, dados de impressão digital etc.) podem ser geralmente específicas e/ou usadas como dados com base nos serviços de pontuação de fraude para gerar a pontuação de fraude. O usuário provê as declarações (por exemplo, dados de impressão digital etc.), em resposta, a IAMH 102, em 422. O IAMH 102, por sua vez, transmite as declarações aos serviços de valor agregado 132, em 424, e especificamente o serviço de pontuação de fraude associado a eles. O serviço de pontuação de fraude verifica as declarações recebidas, em 426, e (opcionalmente) provê uma pontuação de fraude (em geral, um representante de declaração de saída da correspondência de impressões digitais, etc.) para o IAMH 102. E, finalmente, em 430, o IAMH 102 provê um token de autenticação e as declarações enviadas do IDP 110 (relacionadas à pontuação de fraude do serviço de pontuação de fraude) ao usuário.
[054] Então, no método 400, o usuário acessa o site de terceiros confiáveis (ou aplicativo móvel), através do dispositivo de comunicação 140, após o que o usuário tenta acessar um recurso seguro (por exemplo, dados da conta, etc.) associado a terceiros confiáveis 106, mediante acesso ao site (ou aplicativo móvel).
Para fazer isso, o usuário provê o token de autenticação e uma ou mais declarações de saída (por exemplo, a pontuação de fraude etc.) para acessar o recurso seguro, em 432, quando os terceiros confiáveis 106 verificam as declarações em 434 e verificam o token, em 436, com o IAMH 102. Por sua vez, quando as declarações e o token de autenticação são confirmados, o recurso seguro é retornado ao site de terceiros confiáveis (ou aplicativo móvel) no dispositivo de comunicação 140, em
438.
[055] Embora o serviço de pontuação de fraude seja descrito acima com referência ao site dos terceiros confiáveis 106, deve-se considerar que o serviço de pontuação de fraude pode ser provido de maneira semelhante por meio de um aplicativo móvel associado a terceiros confiáveis 106 (ou a um site e/ou aplicativo móvel associado a terceiros confiáveis 104), através do SDK 302 do dispositivo de comunicação 140, como ilustrado na FIG. 3, por exemplo.
[056] Além disso, os serviços de valor agregado 132 podem prover um serviço de comprovação de verificação de documentos, que é configurado para prover declarações sobre a validação de documentos e outros atributos de identidade. Os atributos podem ser capturados, por exemplo, no dispositivo de comunicação 140, via SDK 302 ou outro SDK adequado. O serviço de comprovação de documentos pode ser configurado para ser alavancado pelos terceiros confiáveis 106 (ou terceiros confiáveis 104) para criar uma identidade digital ou para validar a nova solicitação de abertura de conta do usuário ou a solicitação remota de conhecimento do cliente (KYC).
[057] Em conexão com isso, a FIG. 5 ilustra um método exemplar 500 para uso no fornecimento de verificação de declarações relacionadas à validação de documentos e outros atributos de identidade. O método exemplar 500 é aqui descrito em conexão com o sistema 100 e pode ser implementado, no todo ou em parte, no mesmo. Além disso, para fins de ilustração, o método exemplar 500 também é descrito com referência ao dispositivo de computação 200 da FIG. 2 e o dispositivo de comunicação 140 (como também ilustrado na FIG. 3). No entanto, deve ser apreciado que o método 500, ou outros métodos descritos neste documento, não se limitam ao sistema 100, ao dispositivo de computação 200 ou ao dispositivo de comunicação 140. E, inversamente, aos sistemas, estruturas de dados, dispositivos de computação e dispositivos de comunicação aqui descritos não estão limitados ao método exemplar 500.
[058] Especificamente, nesta modalidade exemplar, o usuário tenta criar uma conta, por exemplo, nos terceiros confiáveis 106, em 502, através de um site ou aplicativo móvel associado a ele (por exemplo, através do aplicativo móvel 318 no dispositivo de comunicação 140, etc.). Por sua vez, o IAMH 102 verifica as políticas associadas a terceiros confiáveis 106, em 504 e, em 506, mostra ao usuário, por meio de uma interface do usuário do site (ou, alternativamente, pelo aplicativo móvel 318) a terceiros confiáveis (via dispositivo de saída 206 do dispositivo de comunicação 140, etc.), política para a abertura de uma nova conta, solicitando assim as declarações do usuário. O site, conforme provido no dispositivo de comunicação 140, captura as declarações associadas à política dos terceiros confiáveis 106 (via dispositivo de entrada 208), em 508, como uma imagem do documento físico indicativo de uma identidade do usuário (que inclui uma foto ou imagem do usuário ou outra biometria do usuário) e uma imagem do usuário (por exemplo, uma selfie etc.) do rosto do usuário (ou outra biometria do usuário), etc. As imagens (em geral, declarações) são então transmitidas, através do site, para a IAMH 102, em 510.
[059] Em particular neste exemplo, a verificação da política (em 504) refere- se à implicação potencial do IDP 110 na Região B, com base no envolvimento dos terceiros confiáveis 106. Por exemplo, e como mostrado na FIG. 1, em conexão com o desejo (em 502) do usuário de criar a nova conta com os terceiros confiáveis 106,
uma solicitação pode ser direcionada ao IDP 110 através do IAMH 102 (por exemplo, através do IAMH 102 e do concentrador secundário 136, em rota para o IDP 110; etc.) como parte da verificação da identidade do usuário (por exemplo, em 514 em conexão com o serviço de comprovação de verificação de documento do IAMH 102, verificando a declaração dada em relação ao usuário, etc.). Quando/se a solicitação for feita, ela cruzará a fronteira regional para a Região B, onde o IAMH 102 (e, mais particularmente, o serviço de comprovação de verificação de documentos implicado associado a ele) aplicaria as políticas determinadas para a verificação (por exemplo, políticas no solo para a Região B, etc.), com base na verificação de políticas (em 504) (juntamente com as restrições correspondentes a PII associado com a região B). Dito isto, a verificação da política pode ser realizada no IAMH 102 em geral (dependendo da região do IAMH 102 e do IDP provido), ou na região da solicitação ou na região do IDP 110 (por exemplo, através do concentrador secundário 136 na região B no exemplo acima, etc.). Deve-se considerar que, se a ação solicitada pelo usuário violar a política determinada, o IAMH 102 pode simplesmente prover um declínio para o usuário.
[060] Então, no método 500, em 512, o IAMH 102 transmite as declarações para o serviço de comprovação de verificação de documentos (em geral, um dos serviços de valor agregado 132). Em resposta, o serviço de comprovação de verificação de documentos verifica as declarações recebidas (por exemplo, as imagens recebidas etc.), em 514 (por si só ou em comunicação com o IDP 110). O serviço de comprovação de verificação de documentos gera uma pontuação de confiança com base na correspondência entre as imagens e, em 516, provê um resultado da verificação (incluindo a pontuação de confiança no resultado) para o IAMH 102. Em resposta, o IAMH 102, em 518, transmite as declarações (as imagens, o resultado e/ou a pontuação de confiança) para os terceiros confiáveis
106. Os terceiros confiáveis 106 em seguida verificam as declarações recebidas, em
520, aprovando desse modo o resultado e/ou a pontuação de confiança no resultado (por exemplo, relativo a um limite etc.). Posteriormente, os terceiros confiáveis 106 provê uma confirmação, em 522, para o IAMH 102 (ou o IAMH 102 verifica as declarações independentemente) e, em 524, o IAMH 102 provê um token representativo da autenticação e/ou verificação do documento físico (conforme identificado ao usuário) para o recurso seguro, que, neste exemplo, inclui o site (ou aplicativo móvel) dos terceiros confiáveis 106.
[061] Dito isto, deve ser apreciado que os terceiros confiáveis 106 (e/ou os terceiros confiáveis 104) podem impor ainda uma política do cliente relacionada à verificação de documentos no IAMH 102 e, mais particularmente, aos serviços de valor agregado 132.
[062] Com referência novamente à FIG. 1, os serviços de valor agregado 132 incluem um serviço de autenticação biométrica, que é configurado para prover declarações sobre autenticação biométrica local que podem ser baseadas no Identidade Rápida Online (FIDO) ou de outra forma. O serviço biométrico é configurado para se comunicar com um servidor de autenticação biométrica específico (por exemplo, um servidor FIDO, etc.), para obter o resultado da autenticação da biometria. O serviço de autenticação biométrica é configurado para facilitar casos de uso, como, por exemplo, autenticação biométrica para fazer login em um usuário, autenticação biométrica como consentimento para compartilhamento de dados de PII etc.
[063] Em conexão com isso, a FIG. 6 ilustra um método exemplar 600 associado à autenticação biométrica. O método exemplar 600 é novamente descrito aqui em conexão com o sistema 100 e pode ser implementado, no todo ou em parte, no mesmo. Além disso, para fins de ilustração, o método exemplar 600 também é descrito com referência ao dispositivo de computação 200 da FIG. 2 e ao dispositivo de comunicação 140 (como também ilustrado na FIG. 3). No entanto, deve ser apreciado que o método 600, ou outros métodos descritos neste documento, não estão limitados ao sistema 100, ao dispositivo de computação 200 ou ao dispositivo de comunicação 140. E, inversamente, aos sistemas, estruturas de dados, dispositivos de computação e dispositivos de comunicação aqui descritos não estão limitados ao método exemplar 600.
[064] Especificamente, nesta modalidade exemplar, o usuário tenta autenticar sua biometria, por exemplo, como parte de uma interação com os terceiros confiáveis 106, em 602, através de um site ou aplicativo móvel associado a ele (por exemplo, através do aplicativo móvel 318 no dispositivo de comunicação 140, etc.), para acessar uma conta, interações diretas associadas à conta e/ou prover um atributo de uma identidade do usuário, etc. Por sua vez, o IAMH 102 verifica as políticas associadas aos terceiros confiáveis 106, em 604, e depois, em 606, mostra ao usuário, por meio de uma interface do usuário do site (ou, alternativamente, por meio do aplicativo móvel 318) a política dos terceiros confiáveis para autenticação biométrica (por meio do dispositivo de saída 206 do dispositivo de comunicação 140, etc.), solicitando assim as declarações do usuário. O site, conforme provido por terceiros confiáveis 106, no dispositivo de comunicação 140 (via dispositivo de entrada 208), em seguida, captura as declarações em 608, que incluem uma biometria do usuário (por exemplo, uma imagem facial, uma impressão digital, etc.). A biométrica (em termos gerais, a declaração) é então provida, através do site, ao IAMH 102, em 610.
[065] Em 612, o IAMH 102 provê as declarações para o serviço de autenticação biométrica (em geral, um dos serviços de valor agregado 132). Em resposta, o serviço de autenticação biométrica verifica as declarações (ou seja, a biometria), em 614 e, em 616, provê o resultado da verificação para o IAMH 102 (incluindo potencialmente a biometria). Em resposta, o IAMH 102, em 618, transmite o resultado da verificação para os terceiros confiáveis 106. Os terceiros confiáveis
106 verificam as declarações, em 620, com base no resultado da verificação (por exemplo, confirmam que o usuário foi biometricamente verificado etc.). Em conexão a isto, os terceiros confiáveis 104 proveem, em 622, uma confirmação para o IAMH 102 e, em seguida, o IAMH 102 provê um token, em 624, representativo da autenticação e/ou verificação da biometria (conforme identificado ao usuário) para o recurso seguro (conforme solicitado pelo usuário), que inclui o site de terceiros confiáveis (ou aplicativo móvel).
[066] Novamente neste exemplo, a verificação da política (em 604) refere-se à implicação potencial do IDP 110 na Região B, com base no envolvimento dos terceiros confiáveis 106. Por exemplo, e como mostrado na FIG. 1, em conexão com a tentativa de autenticação (em 602) do usuário, uma solicitação pode ser direcionada ao IDP 110 através da IAMFI 102 (por exemplo, através do IAMH 102 e do concentrador secundário 136, em rota para o IDP 110; etc.) como parte da verificação biométrica (por exemplo, em 614, em conexão com o serviço biométrico do IAMH 102, verificando a dada declaração em relação ao usuário, etc.). Quando/se a solicitação for feita, ela atravessaria a fronteira regional para a Região B, onde o IAMH 102 (e, mais particularmente, o serviço biométrico associado a ela) aplicaria as políticas identificadas para a verificação (por exemplo, políticas no solo para a Região B, etc.), com base na verificação de políticas (em 604) (juntamente com quaisquer restrições correspondentes à PII associada à Região B). Dito isto, a verificação da política pode ser realizada no IAMH 102 em geral (dependendo da região do IAMH 102 e do IDP provido), ou na região da solicitação ou na região do IDP 110 (por exemplo, através do concentrador secundário 136 na região B no exemplo acima, etc.). Deve-se considerar que, se a ação solicitada pelo usuário violar a política determinada, o IAMH 102 pode simplesmente prover um declínio ao usuário.
[067] Tendo em vista o que precede, os sistemas e métodos aqui providos proveem IDaaS (Identidade como um Serviço) para site (s) de terceiros confiáveis, aplicativos móveis e aplicativos SaaS baseados em nuvem (software como serviço), enquanto também fornecendo soluções integradas para determinados serviços, como, por exemplo, tokenização, pontuação de fraude e dados ACH. Os sistemas e métodos aqui mencionados também permitem e explicam a privacidade e a segurança, ao mesmo tempo em que proveem modelos de implantação fáceis e flexíveis para terceiros confiáveis a bordo de forma eficiente e proveem melhor identidade digital e outros serviços aos usuários, com experiências sem atrito para os usuários.
[068] Novamente e como descrito anteriormente, deve-se considerar que as funções descritas aqui, em algumas modalidades, podem ser descritas em instruções executáveis por computador armazenadas em uma mídia legível por computador, e executáveis por um ou mais processadores. A mídia legível por computador é um meio de armazenamento legível por computador não transitório. A título de exemplo, e não como limitação, essas mídias legíveis por computador podem incluir RAM, ROM, EEPROM, CD-ROM ou outro armazenamento em disco óptico, armazenamento em disco magnético ou outros dispositivos de armazenamento magnético ou qualquer outro meio que possa ser usado para transportar ou armazenar o código de programa desejado na forma de instruções ou estruturas de dados e que possa ser acessado por um computador. As combinações dos itens acima também devem ser incluídas no escopo de mídia legível por computador.
[069] Também deve ser apreciado que um ou mais aspectos da presente divulgação transformam um dispositivo de computação de uso geral em um dispositivo de computação de finalidade especial quando configurado para executar as funções, métodos e/ou processos descritos neste documento.
[070] Como será apreciado com base na especificação anterior, as modalidades da divulgação acima descritas podem ser implementadas usando técnicas de programação ou engenharia de computador, incluindo software, firmware, hardware ou qualquer combinação ou subconjunto dos mesmos, em que o efeito técnico pode ser alcançado através da realização de uma ou mais das seguintes operações: (a) receber, em um dispositivo de computação de concentrador de gerenciamento de identidade e acesso (IAMH) em uma primeira região, uma solicitação relacionada a uma identidade digital a partir de um concentrador secundário disposto em uma segunda região; (b) verificar, pelo dispositivo de computação IAMH, uma política associada à identidade digital; (c) solicitar, pelo dispositivo de computação IAMH, pelo menos uma declaração de um usuário, em um aplicativo e/ou site de terceiros confiáveis, com base na solicitação; (d) prover pelo menos uma declaração para um serviço de valor agregado associado ao IAMH para verificação de pelo menos uma declaração; (e) transmitir, pelo dispositivo de computação IAMH, um resultado da verificação a terceiros confiáveis associados à solicitação; e (f) prover, pelo dispositivo de computação IAMH, um token, em resposta à solicitação, para um recurso seguro associado a terceiros confiáveis.
[071] Modalidades exemplares são providas para que esta divulgação seja minuciosa, e transmita totalmente o escopo àqueles versados na técnica. Inúmeros detalhes específicos são apresentados como exemplos de componentes, dispositivos e métodos específicos, para prover um entendimento completo das modalidades da presente divulgação. Será evidente para os versados na técnica que detalhes específicos não precisam ser empregados, que modalidades exemplares podem ser incorporadas de muitas formas diferentes e que nenhuma deve ser interpretada para limitar o escopo da divulgação. Em algumas modalidades exemplares, processos conhecidos, estruturas de dispositivos conhecidas e tecnologias conhecidas não são descritas em detalhes.
[072] A terminologia usada neste documento tem o objetivo de descrever apenas modalidades exemplares particulares e não se destina a ser limitativa. Conforme usado neste documento, as formas singulares "a/o" e "uma/um" podem ter a intenção de incluir as formas plurais bem como, a menos que o contexto indique claramente o contrário. Os termos "compreende", "compreendendo", "incluindo" e "tendo" são inclusivos e, portanto, especificam a presença de recursos, números inteiros, etapas, operações, elementos e/ou componentes declarados, mas não impedem a presença ou adição de um ou mais outros recursos, números inteiros, etapas, operações, elementos, componentes e/ou grupos dos mesmos. As etapas, processos e operações do método aqui descrito não devem ser interpretados como necessariamente exigindo seu desempenho na ordem específica discutida ou ilustrada, a menos que especificamente identificado como uma ordem de desempenho. Também deve ser entendido que etapas adicionais ou alternativas podem ser empregadas.
[073] Quando um recurso é referido como "ligado", "engatado a", "conectado a", "acoplado a", "associado a", "incluído com" ou "em comunicação com" outro recurso, ele pode ser diretamente ligado, engatado a, conectado a, acoplado a, associado a, incluído com ou em comunicação com o outro recurso, ou recursos intermediários podem estar presentes. Conforme usado neste documento, o termo "e/ou" e a frase "pelo menos um de" incluem toda e qualquer combinação de um ou mais dos itens listados associados.
[074] Embora os termos primeiro, segundo, terceiro etc. possam ser usados aqui para descrever vários recursos, esses recursos não devem ser limitados por esses termos. Esses termos podem ser usados apenas para distinguir um recurso de outro. Termos como "primeiro", "segundo" e outros termos numéricos, quando usados aqui, não implicam uma sequência ou ordem, a menos que claramente indicado pelo contexto. Assim, uma primeira característica discutida aqui pode ser denominada uma segunda característica sem se afastar dos ensinamentos das modalidades exemplares.
[075] Nenhum dos elementos citados nas reivindicações pretende ser um elemento de meios mais função, dentro do significado de 35 USC § 112 (f), a menos que um elemento seja expressamente recitado usando a frase "meios para" ou no caso de uma declaração de método usando as frases "operação para" ou "etapa para".
[076] A descrição anterior de modalidades exemplares foi provida para fins de ilustração e descrição. Não se destina a ser exaustivo ou a limitar a divulgação. Elementos ou características individuais de uma modalidade específica geralmente não se limitam a essa modalidade específica, mas, quando aplicável, são intercambiáveis e podem ser usados em uma modalidade selecionada, mesmo se não mostrado ou descrito especificamente. O mesmo também pode variar de várias maneiras. Tais variações não devem ser consideradas como um afastamento da divulgação, e todas essas modificações devem ser incluídas no escopo da divulgação.

Claims (16)

REIVINDICAÇÕES
1. Método implementado por computador para uso no gerenciamento de identidades digitais em múltiplas regiões, por meio de vários provedores de identidade, ao mesmo tempo em que provê a aplicação de políticas em conexão com as identidades digitais, o método CARACTERIZADO pelo fato de que compreende: receber, em um dispositivo de computação de concentrador de gerenciamento de identidade e acesso (IAMH) em uma primeira região, uma solicitação relacionada a uma identidade digital de um concentrador secundário disposto em uma segunda região; verificar, pelo dispositivo de computação IAMH, uma política associada à identidade digital; solicitar, pelo dispositivo de computação IAMH, pelo menos uma declaração de um usuário, em um aplicativo e/ou site de terceiros, com base na solicitação; prover pelo menos uma declaração para um serviço de valor agregado associado ao IAMH para verificação de pelo menos uma declaração; transmitir, pelo dispositivo de computação IAMH, um resultado da verificação para terceiros confiáveis associados à solicitação; e prover, pelo dispositivo de computação IAMH, um token, em resposta à solicitação, para um recurso seguro associado a terceiros confiáveis.
2. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que adicionalmente compreende: solicitar, pelo dispositivo de computação IAMH, pelo menos uma reivindicação inicial associada à solicitação do usuário; e transmitir, pelo dispositivo de computação IAMH, a pelo menos uma declaração inicial para terceiros confiáveis, antes de solicitar pelo menos uma declaração ao usuário.
3. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que adicionalmente compreende prover um declínio ao usuário, no aplicativo e/ou no site de terceiros confiáveis, quando a solicitação se relacionar com dados associados à identidade digital, violando a política.
4. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que o serviço de valor agregado inclui um serviço de pontuação de fraude, um serviço biométrico e um serviço de verificação de documentos.
5. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que o serviço de valor agregado inclui um de um serviço de pontuação de fraude; e em que o resultado inclui uma pontuação associada à solicitação.
6. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que o serviço de valor agregado inclui um serviço de verificação de documento; e em que a reivindicação inclui uma imagem de um documento físico e o resultado inclui uma pontuação associada à verificação do documento físico em relação a uma referência.
7. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a solicitação inclui uma solicitação para autenticar o usuário.
8. Método implementado por computador, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a solicitação inclui uma solicitação para um atributo da identidade digital do usuário.
9. Sistema para uso no gerenciamento de identidades digitais em múltiplas regiões, por meio de vários provedores de identidade, ao mesmo tempo em que garante a imposição de políticas em conexão com as identidades digitais, o sistema
CARACTERIZADO pelo fato de que compreende: um dispositivo de computação de concentrador de gerenciamento de identidade e acesso (IAMH) disposto dentro de uma primeira região; e pelo menos um dispositivo de computação de concentrador secundário acoplado em comunicação com o dispositivo de computação IAMH e em comunicação com um dispositivo de computação de provedor de identidade (IDP) incluindo uma identidade digital de um usuário, o dispositivo de computação de concentrador secundário e o dispositivo de computação IDP dispostos em uma segunda região diferente da primeira região; em que o dispositivo de computação IAMH é configurado para receber uma solicitação relacionada ao usuário, incluindo a solicitação para autenticar o usuário, autorizar o usuário e/ou para um atributo da identidade digital do usuário; e em que pelo menos um do dispositivo de computação IAMH e o dispositivo de computação do concentrador secundário estão configurados para aplicar pelo menos uma política associada à segunda região e/ou o IDP disposto na segunda região à solicitação, reforçando assim a pelo menos uma política para a solicitação na primeira e na segunda regiões.
10. Sistema, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que a primeira região é um primeiro país e a segunda região é um segundo país diferente; e em que a política inclui uma limitação associada à transmissão de informações de identificação pessoal (PII) associadas à solicitação, do primeiro país para o segundo, país diferente.
11. Sistema, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que pelo menos um do dispositivo de computação IAMH e o dispositivo de computação de concentrador secundário estão configurados para limitar a solicitação com base na política; e em que o dispositivo de computação IAMH é configurado para: quando a solicitação violar pelo menos uma política, recusar a solicitação; e quando a solicitação estiver em conformidade com pelo menos uma política, comunicar pelo menos uma reivindicação associada à solicitação ao dispositivo de computação IDP e exibir pelo menos uma declaração, para o usuário como um site associado a terceiros confiáveis que interage com o usuário, em resposta a um token de autenticação do dispositivo de computação IDP recebido em resposta à pelo menos uma declaração comunicada.
12. Sistema, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que o dispositivo de computação IAMH é adicionalmente configurado para prover pelo menos uma declaração a um serviço de valor agregado e prover um token de autenticação para terceiros confiáveis que interagem com o usuário em resposta a uma verificação de pelo menos uma declaração pelo serviço de valor agregado.
13. Sistema, de acordo com a reivindicação 12, CARACTERIZADO pelo fato de que o serviço de valor agregado inclui um serviço de pontuação de fraude associado ao dispositivo de computação IAMH.
14. Sistema, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que a solicitação é para o atributo da identidade digital do usuário.
15. Sistema, de acordo com a reivindicação 9, CARACTERIZADO pelo fato de que o dispositivo de computação IAMH é adicionalmente configurado para prover pelo menos uma declaração a um serviço de valor agregado associado ao dispositivo de computação IAMH e prover uma pontuação de confiança a terceiros confiáveis que interagem com o usuário após o recebimento da pontuação de confiança do serviço de valor agregado.
16. Sistema, de acordo com a reivindicação 15, CARACTERIZADO pelo fato de que o serviço de valor agregado inclui um serviço de verificação de documento; e em que a pelo menos uma declaração inclui uma imagem de um documento físico representativo de uma identidade do usuário.
BR112020016801-7A 2018-02-21 2019-02-20 Método implementado por computador e sistema para uso no gerenciamento de identidades digitais em múltiplos países diferentes BR112020016801B1 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862633476P 2018-02-21 2018-02-21
US62/633,476 2018-02-21
PCT/US2019/018691 WO2019164886A1 (en) 2018-02-21 2019-02-20 Systems and methods for managing digital identities associated with users

Publications (2)

Publication Number Publication Date
BR112020016801A2 true BR112020016801A2 (pt) 2020-12-15
BR112020016801B1 BR112020016801B1 (pt) 2022-07-12

Family

ID=67617324

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112020016801-7A BR112020016801B1 (pt) 2018-02-21 2019-02-20 Método implementado por computador e sistema para uso no gerenciamento de identidades digitais em múltiplos países diferentes

Country Status (6)

Country Link
US (1) US10873853B2 (pt)
EP (1) EP3756125B1 (pt)
AU (1) AU2019223980B2 (pt)
BR (1) BR112020016801B1 (pt)
CA (1) CA3091937A1 (pt)
WO (1) WO2019164886A1 (pt)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10931656B2 (en) 2018-03-27 2021-02-23 Oracle International Corporation Cross-region trust for a multi-tenant identity cloud service
US11165634B2 (en) 2018-04-02 2021-11-02 Oracle International Corporation Data replication conflict detection and resolution for a multi-tenant identity cloud service
US10764273B2 (en) * 2018-06-28 2020-09-01 Oracle International Corporation Session synchronization across multiple devices in an identity cloud service
US11373202B2 (en) * 2018-07-16 2022-06-28 Mastercard International Incorporated Method and system for referral fraud prevention via blockchain
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11223622B2 (en) 2018-09-18 2022-01-11 Cyral Inc. Federated identity management for data repositories
US11669321B2 (en) 2019-02-20 2023-06-06 Oracle International Corporation Automated database upgrade for a multi-tenant identity cloud service
US11438331B1 (en) 2019-06-21 2022-09-06 Early Warning Services, Llc Digital identity sign-in
US11888849B1 (en) 2019-06-21 2024-01-30 Early Warning Services, Llc Digital identity step-up
US11558425B2 (en) * 2019-07-31 2023-01-17 EMC IP Holding Company LLC Dynamic access controls using verifiable claims
US11503062B2 (en) * 2020-05-08 2022-11-15 Ebay Inc. Third-party application risk assessment in an authorization service
US10992716B1 (en) * 2020-07-09 2021-04-27 Sailpoint Technologies, Inc. Identity management protocol router
CN112286410B (zh) * 2020-09-25 2022-09-09 长沙市到家悠享网络科技有限公司 数据处理方法、装置、电子设备及计算机可读介质
CN112861085A (zh) * 2021-02-18 2021-05-28 北京通付盾人工智能技术有限公司 一种kyc安全服务系统和方法
CN113242242B (zh) * 2021-05-11 2022-09-13 胡金钱 区块链应用方法及区块链应用终端装置
US11979389B1 (en) * 2022-07-29 2024-05-07 Syniverse Technologies, Llc End-to-end message encryption
CN117057384B (zh) * 2023-08-15 2024-05-17 厦门中盾安信科技有限公司 支持多类型业务办理的用户码串生成方法、介质及设备

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7493497B1 (en) * 2000-02-03 2009-02-17 Integrated Information Solutions Digital identity device
JP4047592B2 (ja) 2002-01-28 2008-02-13 株式会社東芝 通信接続システム、方法、プログラム及び電子投票システム
EP1829332A2 (en) * 2004-12-15 2007-09-05 Exostar Corporation Enabling trust in a federated collaboration of networks
US20090271856A1 (en) * 2008-04-24 2009-10-29 Novell, Inc. A Delaware Corporation Restricted use information cards
US8307412B2 (en) * 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
US10255419B1 (en) * 2009-06-03 2019-04-09 James F. Kragh Identity validation and verification system and associated methods
US9100171B1 (en) * 2009-12-17 2015-08-04 Secure Forward, LLC Computer-implemented forum for enabling secure exchange of information
EP2867814B1 (en) * 2012-06-29 2018-03-14 ID Dataweb, Inc. System and method for establishing and monetizing trusted identities in cyberspace with personal data service and user console
WO2014184671A2 (en) * 2013-04-15 2014-11-20 Tactegic Holdings Pty Limited Systems and methods for efficient network security adjustment
CA2883010A1 (en) 2014-02-25 2015-08-25 Sal Khan Systems and methods relating to the authenticity and verification of photographic identity documents
US10171476B2 (en) 2015-01-12 2019-01-01 Sal Khan System and method for protecting the privacy of identity and financial information of the consumer conducting online business
JP6548936B2 (ja) 2015-03-31 2019-07-24 株式会社Kddi総合研究所 セキュリティゲートウェイ装置、方法及びプログラム
CA3015697C (en) * 2016-02-29 2022-11-22 Securekey Technologies Inc. Systems and methods for distributed identity verification
AU2017277538B2 (en) * 2016-06-06 2019-11-14 Financial & Risk Organisation Limited Systems and methods for providing identity scores
WO2018049523A1 (en) * 2016-09-14 2018-03-22 Royal Bank Of Canada Credit score platform

Also Published As

Publication number Publication date
AU2019223980A1 (en) 2020-08-20
CA3091937A1 (en) 2019-08-29
AU2019223980B2 (en) 2024-02-08
EP3756125A4 (en) 2021-11-17
EP3756125B1 (en) 2024-03-20
US20190261169A1 (en) 2019-08-22
EP3756125A1 (en) 2020-12-30
WO2019164886A1 (en) 2019-08-29
BR112020016801B1 (pt) 2022-07-12
US10873853B2 (en) 2020-12-22

Similar Documents

Publication Publication Date Title
BR112020016801A2 (pt) Sistemas e métodos para gerenciar identidades digitais associadas a usuários
CN110462658B (zh) 用于提供数字身份记录以核实用户的身份的系统和方法
US10609039B2 (en) Traitor tracing for obfuscated credentials
US10097558B2 (en) Delegated permissions in a distributed electronic environment
US9871821B2 (en) Securely operating a process using user-specific and device-specific security constraints
US9680654B2 (en) Systems and methods for validated secure data access based on an endorsement provided by a trusted third party
US20180115551A1 (en) Proxy system for securely provisioning computing resources in cloud computing environment
US9466051B1 (en) Funding access in a distributed electronic environment
US9098675B1 (en) Authorized delegation of permissions
US9569602B2 (en) Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device
BR112020016003B1 (pt) Sistema e método implementado por computador para uso no gerenciamento de identidades digitais e meio de armazenamento legível por computador não transitório
US10623410B2 (en) Multi-level, distributed access control between services and applications
US11431503B2 (en) Self-sovereign data access via bot-chain
US20180123793A1 (en) Initial provisioning through shared proofs of knowledge and crowdsourced identification
US10044718B2 (en) Authorization in a distributed system using access control lists and groups
Lindemann The evolution of authentication
EP3570517B1 (en) Authentication technique making use of emergency credential
KR20190106589A (ko) 전자 디바이스에 서비스를 제공하는 장치 및 그 방법
US11146379B1 (en) Credential chaining for shared compute environments
Li Context-Aware Attribute-Based Techniques for Data Security and Access Control in Mobile Cloud Environment
US20200145459A1 (en) Centralized authentication and authorization
KR102375616B1 (ko) 엔드 유저 인증을 위한 키 관리 방법 및 시스템
US10924286B2 (en) Signing key log management
US20240020680A1 (en) Apparatus and method for providing anonymous delegated credential in did-based service
Singh Securing NFC application data with combination of CLOUD (as SaaS Service) and secure element

Legal Events

Date Code Title Description
B350 Update of information on the portal [chapter 15.35 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 20/02/2019, OBSERVADAS AS CONDICOES LEGAIS