검색결과
-
[기획-디지털 ID 표준] ⑮산업단체와 포럼 - 오픈ID(OpenID)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum, CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다. 추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■ 목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses
-
[미국] 라벨제조기업 와이즈(Wise), QMS 재인증 획득고품질 태그 및 라벨을 생산하는 선도적 제조기업 와이즈(Wise)에 따르면 사우스캐롤라이나주 앤더슨(Anderson, SC)의 라벨 제조 시설 품질경영시스템(Quality Management System, QMS)에 대한 감사 후 재인증을 획득했다.이번 인증은 와이즈의 품질경영시스템(QMS)이 잘 구현되고 있는지, ISO 9001:2015 표준을 준수하고 있는지 철저한 감사를 진행한 결과다. 또한 인증 심사가 종합적인 검토를 거쳐 품질 관리 활동을 강화할 수 있는 계기가 됐다. 와이즈의 품질 경영에 대한 지속적인 노력은 품질경영시스템(QMS)의 개발 및 문서화, 정기적인 내부 감사, 관리 검토, 문서화된 시정 조치 및 검증된 솔루션을 통한 부적합 사항의 해결을 통해 입증됐다.와이즈의 ISO 9001:2015 인증은 회사의 품질 정책과 일치하며 지속적인 개선은 와이즈의 성공에 매우 중요하다. 재인증 감사는 와이즈가 ISO 표준을 준수하는 데 있어 업계를 지속적으로 선도하고 있음을 확인시켜 준다.이번 인증은 QMS의 효율성과 고객의 끊임없는 변화하는 요구 사항을 충족하고 능가하려는 와이즈의 노력에 대한 증거이며 21년 연속 재인증을 획득한 것이다.
-
[남아공] WWISE, 남아공 지역 ISO 45001:2018 요구사항 기반 수요 높음남아프리카공화국 ISO 구현 컨설팅 기업 WWISE(Word Wide Industrial & Systems Engineers)에 따르면 남아공 지역 ISO 45001:2018의 요구사항을 기반으로 한 건강 및 안전 관리 시스템 수요가 높다.ISO 45001:2018 표준은 조직이 법적 요구 사항을 준수하기 위해 수행해야 되는 평가뿐 아니라 법적 요구사항도 시스템에 포함하도록 요구한다.조직 및 기업은 ISO 45001:2018 표준의 요구 사항에 따라 관리 시스템을 구현함으로서 국제적인 수준에서 측정 및 테스트된다.ISO 45001:2018 표준은 시스템의 구축 및 효과와 관련된 몇몇 조항을 살펴보면 다음과 같다. 제4조는 조직의 내부 및 외부뿐만 아니라 이해 당사자와 관련한 위험을 식별하는 관리 시스템의 범위를 규정하고 있다.제5조는 최고 경영진이 근로자와의 협의 및 참여를 위한 프로세스가 확립되도록 보장하는 방법을 다루고 있다.최고 경영진의 리더십과 헌신, 적극적인 지원이 보건 및 안전 관리 시스템의 성공과 의도된 결과를 달성하는데 매우 중요하기 때문이다.따라서 필요 자원의 이용을 보장하고 근로자 및 기타 관련 이해관계자가 프로세스에 참여하도록 권장한다. 또한 통제가 실제적이고 위험에 비례하는지 확인하도록 요구한다.제6조는 조직이 건강 및 안전 위험과 기회를 식별하고 다루도록 요구하고 있다. 인프라, 장비, 재료, 물질과 같은 위험을 식별할 때 고려해야 할 특정 요건을 갖추고 있다.제8조는 예방 조치를 시행할 때 고려해야 될 구체적인 통제 계층을 다루고 있다. 참고로 ISO 45001:2018 표준을 인증받으려면 기업의 직원도 내부 감사 코스에 참석해야 한다.
-
[미국] 베리프(Veriff), 5월 ISO/IEC 27001:2013 인증받아미국 글로벌 신원확인 서비스업체인 베리프(Veriff)에 따르면 2022년 5월 ISO/IEC 27001:2013 인증을 받았다. ISO/IEC 27001은 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 가장 권위 있는 국제 인증이다.정보보호정책, 물리적 보안, 정보접근 통제 등 정보보안에 관련된 표준이다. 인증을 받음으로써 정보보호관리시스템(ISMS)에 대한 검증을 받은 것이다.인증의 범위는 법률 준수, 정보보호, 엔지니어링, 제품, 인력자원, 시설, 인증운영팀을 모두 포함한다. 이번 인증은 클라우드 서비스에 대한 보안 표준인 ISO/IEC 27017:2015와 클라우드 서비스에서 개인식별정보(PII)의 보호에 관한 ISO/IEC 27018:2019까지 연장된다.인증을 받기 위해 독립 인증기구인 Coalfire Certification로부터 평가를 받았다. 인증을 받기 위해 베리프와 고객 모두를 보호하고 관리하기 위한 연속적이며 시스템적인 접근을 시연해야 했다.베리프는 2015년 설립됐으며 정부기관이나 기업이 지능적이고 정확하며 자동화된 온라인 개인정보를 활용해 자체 고객들과 신뢰흘 축적할 수 있도록 온라인 신원확인 서비스를 제공한다.2022년 5월 기준 190개 국가 이상에서 1만200개 이상의 정부 관련 개인신원을 확인할 수 있다. 주요 고객은 핀테크, 암호화폐, 모빌리티 산업에 속해 있다.핵심 고객의 면면을 살펴보면 Blockchain, Bolt, Deel, Starship, Uphold, Wise 등이다. 최근 기업 가치를 15억달러로 평가받으며 1억달러의 투자를 유치했다. 현재까지 투자받은 금액은 2억달러에 달한다.