No mundo digital, a identidade é a chave para tudo o que fazemos. Quer continuar de onde parou no streaming da série que você está assistindo? Quer saber quando aquela compra que você fez por impulso vai chegar? Para qualquer coisa que fazemos no mundo digital, ser capaz de provar quem somos e as permissões que temos para acessar informações é fundamental.
O mesmo se aplica aos negócios digitais.
A identidade digital é a porta de acesso aos sistemas usados por pessoas que trabalham na sua empresa, parceiras e clientes. Estabelecer quem tem quais direitos de acesso está ficando mais difícil — principalmente se você se limitar a usar ideias antiquadas sobre gerenciamento de identidade.
Atualmente, qualquer processo de negócio pode depender de uma quantidade de sistemas interconectados, cada um funcionando em um serviço de nuvem diferente. Em cada etapa desse processo, a reputação da sua empresa vai depender da sua capacidade de garantir que apenas as pessoas com privilégios suficientes possam acessar informações específicas.
A empresa de pesquisa e consultoria Forrester observa em seu relatório New Tech: Decentralized Digital Identity (DDID), Q1 2020, que “as estruturas de identidade digital de hoje são centralizadas, sofrem com a falta de confiança, não são portáteis e não dão controle aos indivíduos consumidores.”
É necessária uma nova abordagem. E uma das mais promissoras gira em torno da identidade descentralizada, aponta Dave Elliman, head global de tecnologia na Thoughtworks. Em um sistema de identidade descentralizada, entidades — pessoas, organizações e coisas — ganham controle sobre suas identidades, habilitando interações confiáveis.
O poder por trás dessa abordagem é permitir que as pessoas compartilhem diferentes partes de suas identidades com diferentes serviços, conforme acharem adequado, explica Elliman. “Existem detalhes que você pode compartilhar com seu plano de saúde, mas que não devem ser compartilhados com um banco, por exemplo. A promessa de um sistema de identidade centralizada é um único sistema que permite se autenticar com várias entidades.”
Mas não são apenas os indivíduos que podem ganhar com uma abordagem descentralizada de identidade e autenticação.
As empresas de hoje já lidam com uma complexidade incrível quando se trata de gerenciar dados de clientes. Cada cliente pode adotar uma série de diferentes "identidades" ao lidar com uma empresa, explica David Colls, diretor de práticas de IA e dados na Thoughtworks Austrália.
Por exemplo, um único indivíduo pode ser um cliente antigo e valioso da sua empresa, ao mesmo tempo em que atua como tesoureiro do clube de futebol local que também é cliente. “Se você descentralizou a identidade como uma construção arquitetural deliberada, essa escolha devolve o poder ao cliente, mas de uma forma que torna mais fácil para as organizações fornecer serviços para as diferentes identidades que o cliente escolhe adotar”, diz Colls. “Essa abordagem habilita a capacidade de lidar com grande parte da complexidade que surge como resultado do fenômeno emergente da identidade descentralizada.”
Construindo a identidade descentralizada em bases sólidas
Os sistemas de identidade descentralizada são fundamentalmente diferentes das abordagens atuais.
Atualmente, a mentalidade empresarial em torno da próxima geração de abordagens de autenticação está majoritariamente focada em iniciativas como a Secure Production Identity Framework For Everyone (SPIFFE), diz Elliman.
A SPIFEE visa resolver o problema de autenticação em sistemas em nuvem distribuídos, sem depender de senhas ou chaves de APIs.
Mas essas abordagens colocam o ônus do gerenciamento de autenticação sobre a empresa. Um sistema de identidade descentralizada coloca o indivíduo no controle. E há um apoio crescente para esse tipo de transferência de poder ao usuário por parte de órgãos reguladores, afirma Elliman.
Regulamentações como o General Data Protection Regulations (GDPR) da União Europeia e o California Consumer Privacy Act (CCPA) estão tratando de questões de identidade com um foco agudo em devolver poder aos indivíduos, diz Danilo Sato, consultor principal de tecnologia na Thoughtworks Reino Unido.
Noções como o direito de ter suas informações esquecidas ou o princípio de que os indivíduos podem exigir saber quais dados as empresas têm sobre eles são um verdadeiro desafio para os negócios hoje. “Como indivíduo, eu não sei se confiaria que uma empresa realmente destruiria meus dados pessoais caso eu solicitasse”, diz Sato.
Um sistema de identidade descentralizada resolve essa questão ao compartilhar apenas os dados que o indivíduo deseja compartilhar. Se uma pessoa mudar de ideia sobre compartilhar seus dados ou decidir que uma organização não precisa mais deles, ela tem o controle necessário para revogar o acesso.
Os padrões são habilitadores fundamentais para a construção de um sistema de identidade descentralizada. Organizações como a Decentralized Identity Foundation estão liderando o caminho nesta área. A entidade tem como objetivo desenvolver os componentes de um ecossistema de identidades aberto, baseado em padrões e descentralizado para pessoas, organizações, aplicativos e dispositivos. Boa parte de sua atuação se concentra na noção de identificadores descentralizados abertos — algo que é totalmente único, persistente e pode ser gerenciado por indivíduos.
E onde entra o blockchain?
É neste momento que uma parte da comunidade defensora da identidade descentralizada começa a falar sobre blockchain. Afinal, estamos buscando descentralização e trocas de informação criptograficamente protegidas. E isso é o feijão com arroz do blockchain.
Elliman, no entanto, é cauteloso.
“Blockchain é definitivamente um caminho promissor para identidade descentralizada, mas não é de forma alguma o único. Muitas das ideias poderosas por trás da identidade descentralizada podem funcionar sem blockchain, então é importante não fundir as duas coisas.”
Embora entusiastas do blockchain tenham ficado exageradamente otimistas com o potencial da tecnologia para uma variedade de aplicações, existem algumas razões sólidas para ao menos considerar seu papel na identidade descentralizada.
Uma delas é o investimento que tem sido dedicado ao blockchain. Embora a pandemia de COVID tenha atingido orçamentos de TI em todo o mundo, espera-se que setores como bancos, governo e saúde continuem priorizando investimentos em soluções de gerenciamento de identidade baseadas em blockchain. O grupo de inteligência de mercado IDC estima que o gerenciamento de identidade é responsável por mais de 7% de todos os gastos com blockchain. Nitidamente, há empresas suficientes convencidas da viabilidade do blockchain para investir quantias significativas na tecnologia.
Em diversos casos, a pandemia tem sido uma catalisadora para as primeiras implementações de sistemas de gerenciamento de identidade descentralizada baseados em blockchain. Por exemplo, a Ilha Jeju, da Coreia do Sul, começou a implantar um sistema de rastreamento de contato baseado em blockchain para turistas. A ideia é que visitantes baixem um aplicativo móvel na chegada e recebam uma credencial baseada em blockchain para se identificar ao visitar destinos turísticos.
Na Thoughtworks China, o período de isolamento induzido pela Covid-19 proporcionou tempo livre para um grupo de colegas que resolveu se dedicar a uma paixão em comum: tecnologia de blockchain. “Parte de nós havia trabalhado em uma iniciativa de identidade descentralizada para uma cliente usando blockchain, e nos interessamos em aplicar essa solução a sistemas de pagamento de próxima geração”, explicou Shangqi Liu, head de blockchain na Thoughtworks China.
O grupo criou a TWallet, uma carteira digital móvel que protege a privacidade dos usuários. “Na China, já temos várias maneiras muito eficientes de usar pagamentos móveis, mas normalmente eles são administrados por grandes corporações. Vimos a oportunidade de uma alternativa independente e aberta, em que os usuários sabem que sua privacidade estará garantida.”
A TWallet usa tecnologia de blockchain para validar a identidade de usuários e proteger os pagamentos móveis. Como os pagamentos são autenticados no dispositivo móvel do usuário, nenhum dado é compartilhado pela Internet, permitindo que as pessoas preservem sua privacidade.
Atualmente, as abordagens de identidade descentralizada baseadas em blockchain são provas de conceito interessantes, diz Elliman, mas ainda há um longo caminho a percorrer antes que o blockchain se torne uma tecnologia universal para os negócios.
“Atualmente, o blockchain não está pronto para a velocidade e a escala que normalmente associamos à tecnologia empresarial”, ele afirma. “Mas isso não quer dizer que líderes empresariais devam ignorar o blockchain. Há um sentimento real de que a pressão do público consumidor será uma grande força condutora para a identidade autossoberana — na qual os indivíduos exigem o controle integral sobre como suas informações pessoais são compartilhadas.”
“As lideranças de negócios de hoje provavelmente já têm muitas preocupações relacionadas ao gerenciamento de identidade, então é compreensível que não queiram considerar uma mudança massiva de direção. Mas, como bem sabemos, as empresas que não priorizam o desenvolvimento tecnológico são as que mais sofrem quando, de repente, o mundo ao seu redor muda ”, diz Elliman.
Tendo isso em mente, você pode até não começar a implantar um sistema de gerenciamento de identidade descentralizada hoje, mas vale considerar o que isso significaria para o seu negócio.