政府与公共政策 - FIDO Alliance

随着技术的发展，政策也需要与时俱进。

全球市场上围绕身份验证技术的创新层出不穷，但有些解决方案更能满足政府部门对安全性和可用性的需求。

通过其工作组和成员公共政策牵头机构，FIDO Alliance 与世界各地的政策制定者就 FIDO 规范如何为强力身份验证提供更新、更好的选择进行了有意义的讨论，并提出了相关的政策更新建议。

FIDO Alliance为决策者提出的要点包括

双因素身份验证不再带来更高的负担或成本。 虽然这种说法适用于较早的传统MFA技术，但FIDO专门解决了这些成本和可用性问题，并实现了更简单、更强大的身份验证功能，使政府、企业和消费者可以轻松地大规模采用这些功能。
现在的技术已经足够成熟，可以在单一设备中实现两种安全的、不同的身份验证因素。 移动设备的发展—特别是提供高度稳健和隔离执行环境的硬件架构（如TEE、SE和TPM）—使这些设备无需物理上独立的令牌即可实现高级别的安全性。美国政府和欧洲银行管理局（EBA）已认识到这一点。
随着政府对强身份验证的推广或要求，要确保它是“正确的”验证。 政府不应该围绕“旧的”身份验证技术制定规则，因为这些技术会给用户带来巨大的成本和负担，从而阻碍采用，也不应该围绕存在安全和隐私问题的身份验证技术制定规则，从而使用户处于危险之中。

研究身份验证要求的政策制定者可在此处填写表格，向FIDO Alliance 申请简报。

世界各国政府都在部署FIDO。请访问FIDO政府部署页面了解更多信息。

FIDO Alliance 公共政策意见书

FIDO Alliance 对印度储备银行（RBI）的意见（2024 年 12 月）：在这份意见书中，对印度储备银行（RBI）提出了意见：关于数字支付交易替代认证机制的评论框架草案。FIDO Alliance

FIDO Alliance 对 ENISA 的意见（2024 年 12 月）：在这份意见书中，向 ENISA 提出意见：NIS2 安全措施实施指南草案。FIDO Alliance

FIDO Alliance 向 NIST 提交的意见（2024 年 10 月）和意见模板：在本输入文件中，对 NIST – SP 800-63-4 Suite（第二份公开草案）提出了意见。FIDO Alliance

FIDO Alliance 向欧盟委员会提供意见（2024 年 9 月）：在这份意见书中，将向欧盟委员会提出意见：实施法案草案–欧洲数字身份钱包：完整性和核心功能。FIDO Alliance

FIDO Alliance 向欧盟委员会提供意见（2024 年 7 月）：在这份意见书中，，向欧盟委员会提出意见：NIS2 指令要求草案。FIDO Alliance

FIDO Alliance 给经济产业省的意见（2024 年 4 月）：在这份意见书中，向经济产业省（METI）提出了意见：物联网产品安全合格评定计划政策草案。FIDO Alliance

FIDO Alliance 向 BRSA 提交意见（2024 年 1 月）：在这份意见书中，对土耳其银行监管局 (BRSA) 的第 2023/1 号通知提出了意见。FIDO Alliance

FIDO Alliance 对 NIST 的意见（2024 年 1 月）：在本输入文件中，对 NIST SP 800-171r3 提出了意见：保护非联邦系统和组织中的受控非机密信息 (CUI)。FIDO Alliance

FIDO Alliance 对 USG 针对承包商的 FAR 条款提案的意见（2023 年 11 月）：在这份意见书中，对 FAR Case 2021-019: Standardizing Cybersecurity Requirements for Unclassified Federal Information Systems 发表了意见。FIDO Alliance

FIDO Alliance 向纽约金融服务部 (DFS) 提交的意见（2023 年 8 月）：在这份意见文件中，对 DFS 的意见–《23 NYCRR 500 – 金融服务公司的网络安全要求》法规的第 2 次修订提案。
FIDO Alliance

FIDO Alliance 对 NIST 的意见（2023 年 6 月）：在这份意见文件中，对 NIST – 身份和访问管理路线图（草案）提出了意见。
FIDO Alliance

FIDO Alliance 对 NIST 的意见（2023 年 4 月）和意见模板：在本意见文件中，对 NIST – SP 800-63-4 数字身份识别指南（草案）的意见。
FIDO Alliance

FIDO Alliance 对 CFPB 的意见（2023 年 1 月）：在本意见文件中，对 CFPB–小企业咨询审查小组关于个人财务日期权利的必要规则制定的意见。
FIDO Alliance

FIDO Alliance 向 DFS 提交的意见（2023 年 1 月）：在这份意见文件中，对 DFS 的意见–《金融服务公司网络安全要求提案》–23 NYCRR Part 500。
FIDO Alliance

FIDO Alliance 向美国金融服务部提交的意见（2022 年 8 月）：在这份意见文件中，对美国金融服务部《金融服务公司网络安全要求提案》提出了意见。
FIDO Alliance

FIDO Alliance 向美国证券交易委员会提交意见（2022 年 4 月）：在这份意见文件中，对美国证券交易委员会的《投资顾问、注册投资公司和商业发展公司网络安全风险管理规则提案》提出了意见。
FIDO Alliance

FIDO Alliance 向联邦通信委员会提交的意见（2021 年 11 月）：在这份意见文件中，对联邦通信委员会关于防止 SIM 卡交换和端口输出欺诈规则的 NPRM 发表了意见。
FIDO Alliance

FIDO Alliance 对 NIST 的意见（2021 年 10 月）：在这份意见文件中，对 NIST 的物联网设备标签提出了意见。
FIDO Alliance Consumer

FIDO Alliance 向欧盟委员会提交的意见（2021年10月）：在这份意见文件中，就欧盟委员会–在eIDAS 2.0中使用FIDO标准–
FIDO Alliance 提出了意见。

FIDO Alliance 对 CISA 的意见（2021 年 10 月）：在这份意见文件中，对零信任成熟度模型和云安全技术参考架构草案提出了意见。
FIDO Alliance

FIDO Alliance 向 OMB 提交的意见（2021 年 9 月）：在这份意见文件中，对白宫管理和预算办公室 (OMB) 发布的《联邦零信托战略草案》发表了意见。
FIDO Alliance

FIDO Alliance 对 NIST 的意见（2021 年 2 月）：在这份意见文件中，对 NIST 的《联邦机构和物联网设备制造商指南草案》提出了意见。
FIDO Alliance

FIDO Alliance Consumer Financial Protection Bureau（金融保护局）（2021 年 2 月）：在本意见文件中，就 Access to Financial Records（访问金融记录）向 Financial Protection Bureau（金融保护局）提出意见。
FIDO Alliance Consumer Consumer

FIDO Alliance 对 NIST 的意见（2020 年 10 月）：在这份意见文件中，对 NIST 关于可信物联网 (IoT) 设备网络层入网和生命周期管理的草案提出了意见。
FIDO Alliance

FIDO Alliance 向欧盟委员会提供的意见（2020 年 9 月）：
在本输入文件中， FIDO Alliance 对欧盟委员会（EC）关于 eIDAS 未来的启动影响评估发表了评论。 FIDO联盟从四个方面提出了意见，供欧盟委员会审议： 1.关于身份验证—欧盟委员会应确保任何LOA高级解决方案都需要高保证认证。 2.根据方案2，将eIDAS扩展到私营部门将受到许多公司的欢迎。 3.通过创建实体身份证件数字版本来创造新的选择，所有欧洲人都能从中受益。 4.相互识别和重复使用预先核准的ID产品。

FIDO Alliance 对美国国家标准与技术研究院（NIST）的意见（2020 年 8 月）：
在本输入文件中， FIDO Alliance 对 NIST 的《数字身份指南》草案前征询意见发表了意见。 FIDO联盟在三个方面提出了意见，供NIST考虑： 1.认识到自SP 800-63-3发布以来，威胁和技术都发生了变化。 2.AAL3—探索新道路。 3.参考FIDO标准。

FIDO Alliance 向美国缉毒署（DEA）提供的意见（2020 年 6 月）：在这份意见文件中，对编号为 Docket No.
FIDO Alliance 第DEA-218I号案卷《缉毒局（DEA）征求对受控物质电子处方（EPCS）临时最终规则的意见》发表了意见。 FIDO Alliance 评论分为四个部分，主要集中在征求意见稿中关于临时最终规则中认证要求的部分： 1.对现行法规和过去十年技术发展的看法。 2.介绍 FIDO 身份验证和FIDO Alliance 认证计划。 3.对“征求意见书”中DEA具体问题的答复。 4.就DEA如何确保经修订的EPCS法规随着技术和威胁的发展与时俱进提出建议。

FIDO 标准如何满足 PSD2 关于强客户身份验证的监管技术标准要求（2018 年 12 月）：
本文档详细回顾了 PSD2 下强客户身份验证的监管技术标准和通用和安全的开放通信标准（RTS）中列出的安全要求，并介绍了 FIDO 标准如何满足这些要求。

关于 FIDO 与 GDPR 相关性的常见问题解答（2018 年 9 月）：
本文档提供了有关身份验证、用户同意、使用生物识别技术等问题的答案。在欧洲《通用数据保护条例》的背景下。它展示了FIDO身份验证如何帮助服务提供商遵守法规。

FIDO Alliance 关于支付服务指令 2 的信函（2017 年 8 月）：致欧盟委员会和欧洲议会的信函，内容涉及是否应允许将屏幕刮擦作为 PSD2 的后备选项。
FIDO Alliance

FIDO Alliance 对美国国家标准与技术研究院（NIST）的建议：关于改进关键基础设施网络安全框架的信息请求 (RFI)（2017 年 4 月）：在就网络安全框架的拟议修改向 NIST 提供的意见中，建议 NIST 明确其措辞，并在框架的下一次更新中明确要求 MFA。
FIDO Alliance 联盟敦促NIST在框架核心中增加一个新的“身份验证”子类别，并建议：“授权用户的身份验证受到多种因素的保护。” 用这种语言明确处理MFA是必要的，可帮助政府和行业应对因身份验证薄弱而导致的日益增长的风险，这也应成为对《框架》进行适当更新的一部分。

对欧洲银行管理局（EBA）关于《支付服务指令》（PSD2）修订版中 “强客户身份验证和安全通信的未来监管技术标准草案 “讨论文件的回应
在这份对欧洲银行管理局的回应中，FIDO Alliance 详细介绍了符合安全最佳实践的 FIDO 实施如何成为欧洲银行管理局根据《支付服务指令》（PSD2）制定的 “强客户身份验证 “法规所努力促进的理想范例：商家和消费者将大规模采用的更简单、更强大的身份验证功能。答复中还描述了EBA对FIDO公钥加密架构的认可，尤其是在与设备生物识别技术相结合的情况下，将如何减少其支付服务提供商的漏洞面—并可能因此降低在线欺诈率—以及如何通过减少用户体验中的摩擦来加快整体在线支付量。

FIDO 隐私： FIDO Alliance 白皮书
本白皮书介绍了在设计 FIDO 协议时如何考虑到隐私问题，以及这些协议如何有助于满足某些监管机构的隐私要求。