Європейський Блокчейн Пісочниця: Уроки, які були засвоєні

Створення рішення для ідентифікації Web3

відступи: 12 пікселів;

фон: var(--колір-тіні-кнопки-нормальний);

border-radius: 8px;

">

Коротко:

Європейський блокчейн-сандбокс завершив свій другий когорту, в якій взяли участь рішення IOTA Foundation щодо токенізованого Know Your Customer разом з IDnow, walt.id та Bloom Wallet. Сандбокс надав ключові уроки з дотримання вимог та захисту конфіденційності при верифікації особи в Web3, включаючи використання офчейн-верифікації, соулбаунд-токенів та практик гаманців і вузлів, що відповідають GDPR.

Ми завершили нашу участь у Європейському блокчейн-пісочниці, трирічній ініціативі Європейської Комісії, яка дає можливість інноваційним проектам на базі розподіленого реєстру тестувати свої рішення з регуляторами по всій Європі. Щороку обираються 20 проектів для участі, і Фонд IOTA був частиною другого набору, який проходив з червня 2024 року по березень 2025 року.

Наш внесок зосереджений на Токенізованому рішенні Know Your Customer (KYC), розробленому спільно з IDnow**,** walt.id**,** та Bloom Wallet. Це рішення у вигляді доказу концепції дозволяє користувачам перевіряти свою особу поза блокчейном і отримувати токенізоване підтвердження у своєму гаманці. Це дозволяє dApps, біржам та іншим сервісам підтверджувати вимоги на відповідність (, такі як перевірка віку ), не розкриваючи чутливі дані на блокчейні.

Закриття пісочниці відзначено Звітом про найкращі практики Європейської Комісії для другого набору. Звіт містить рекомендації та найкращі практики програми, надаючи цінні вказівки для всіх, хто розробляє рішення на основі DLT та орієнтується в їх регуляторних наслідках.

Основні висновки з пісочниці: обмін даними клієнтів

Ключовою метою у Sandbox було те, як правила протидії відмиванню коштів (AML) та KYC застосовуються на практиці. Регулятори підкреслили, що крипто-активи біржі та інші постачальники послуг мають юридичне зобов'язання знати ідентичність своїх користувачів. Саме тому наше рішення Tokenized KYC дозволяє суб'єкту, відповідальному за проведення перевірки KYC, отримати доступ до перевірених особистих даних від постачальника перевірки особи (у нашому випадку, IDnow). Аналогічно, органи влади, такі як поліція, можуть запитувати особисті дані, пов'язані з конкретним непередавальним (soulbound) токеном.

Щоб спростити онбординг клієнтів, компанії іноді можуть повторно використовувати дані KYC, які вже зібрала інша сторона. Але правила цього процесу різняться в Європі. У деяких країнах дані можуть бути передані лише між однією і тією ж категорією суб'єктів, тоді як більш широке обміну вимагає спеціального дозволу від національних органів. На щастя, очікується, що майбутня Регуляція проти відмивання грошей (AMLR) гармонізує ці правила щодо використання інформації про клієнтів, зібраної іншими суб'єктами.

Основні висновки з пісочниці: Токени, прив’язані до душі

Звіт також підкреслив ключові висновки щодо самостійно керованих гаманців, KYC та того, як дані класифікуються на публічних бездозвільних DLT, таких як IOTA. У нашому рішенні Tokenized KYC лише soulbound токени реєструються в блокчейні. Ці токени не містять особистих даних, але підтверджують, що процес KYC був завершений, при цьому базові дані KYC зберігаються в безпечному оффчейн. Sandbox зазначив, що такі токени все ще можуть розглядатися як псевдонімізовані особисті дані, що означає, що до них застосовується GDPR. Оскільки ця класифікація може змінюватися з новою судовою практикою та настановами, вона вимагає постійного перегляду. Щоб мінімізувати ризики захисту даних, наше рішення дотримується підходу захисту даних за замовчуванням, обмежуючи кількість і тип даних, які передаються в блокчейн. Це відповідає принципу захисту даних за замовчуванням.

Основні висновки з пісочниці: постачальники гаманців та оператори вузлів

Ще одна важлива тема в Sandbox полягала в тому, як постачальники гаманців та оператори вузлів класифікуються відповідно до GDPR

• Звіт робить висновок, що постачальники гаманців, які розміщуються самостійно, не вважаються контролерами або обробниками даних, якщо гаманець працює виключно на пристрої користувача без покладання на зовнішній бекенд. У нашому рішенні Tokenized KYC перевірені дані особи зберігаються поза блокчейном з IDnow, тоді як самостійний гаманець користувача лише містить атестацію KYC, прив'язану до душі. Цей дизайн відповідає вказівкам GDPR: відповідальність за персональні дані лежить на суб'єктах, які фактично отримують або використовують їх – наприклад, IDnow для перевірки та зберігання даних поза блокчейном, а також, де це застосовно, інтегруючий сервіс, такий як dApp або біржа, коли він законно запитує або використовує дані.
• Класифікація операторів вузлів відповідно до GDPR потребує ретельного нюансу. Як ми нещодавно коментували в стосунку до посібників Європейського Комітету з захисту даних щодо персональних даних у блокчейнах, вузли виконують лише технічні функції; вони не визначають і не контролюють цілі обробки даних. Вважати їх контролерами було б неправильним зображенням їхньої ролі та наклало б непропорційні зобов'язання. Наша токенізована KYC-розв'язка підкреслює це розрізнення. Верифіковані дані особи зберігаються поза ланцюгом з IDnow, тоді як ланцюг реєструє лише непередавану KYC-атестацію без особистих атрибутів. Вузли просто передають або перевіряють цю псевдонімізовану атестацію і ніколи не отримують доступ до набору даних особи. Навіть якщо такі атестації підпадають під визначення персональних даних, дизайн мінімізує вплив на ланцюг і забезпечує, що відповідальність лежить на суб'єктах, які насправді обробляють інформацію про особу. Це забезпечує дієвий шлях для виконання вимог AML/KYC, при цьому поважаючи принципи захисту даних.

Майбутнє токенізованого KYC?

Нові регуляції, такі як Регламент про передачу коштів та Регламент щодо боротьби з відмиванням грошей, вимагають від таких суб'єктів, як криптоактивні біржі, зберігати дані про користувача самоорганізованого гаманця та ідентифікувати власника самоорганізованого гаманця. У той же час, dApps та оператори DeFi все більше шукають способи забезпечити відповідні перевірки особи, не порушуючи приватності та безпеки. Існує зростаюча потреба в інструментах для ідентифікації в блокчейні, щоб забезпечити гладкі та відповідні взаємодії в екосистемах Web3.

Наше рішення KYC на основі токенів, що є доказом концепції, об'єднує всі необхідні етапи в одному зручному інструменті:

• Достовірна сторона свідчить процес ідентифікації та токенізує його як токен, що не відключається, дозволяючи dApps та іншим суб'єктам впевнено ставитися до процесу ідентифікації, не розкриваючи при цьому фактичну Особисто Ідентифіковану Інформацію.
• Токен, пов'язаний з душею, може використовуватися для процесів в блокчейні, дозволяючи нативні взаємодії Web3.
• Довірена сторона може розкрити інформацію про особу, якщо це запитує уповноважена сторона (, наприклад, правоохоронні органи )
• Довірена сторона також може відкликати токен, якщо потрібне скасування (, наприклад, зміни в списку спостереження ).

Після завершення цього проєкту було запущено перезапущений IOTA Mainnet з новою архітектурою на основі Move Virtual Machine. Щоб підтримати такі випадки використання, як рішення Tokenized KYC, ми розробили IOTA Trust Framework, набір комбінованих інфраструктурних компонентів, кожен з яких розроблений з урахуванням конфіденційності, відповідності та зручності використання.

Ми хочемо подякувати IDnow**,** walt.id**,** та Bloom Wallet за їхню відданість та наполегливу працю в цьому проєкті! Це рішення успішно продемонструвало зручне, відповідне та таке, що зберігає конфіденційність, рішення для простору Web3.