人不是生活在真空之中,公司也不应该这样。为了在当今的市场上取得成功,金融公司不得不重新思考他们的商业运作模式。对传统实体金融公司而言,他们已经意识到利用所有的人事、系统和服务资源为公司内部的信息服务这种策略已经过时,游戏规则已经开始改变了。为了维持高效率、低成本的商业运作,他们不得不开始寻找第三方合作伙伴来扮演那些不再增加价值的角色,比如效益管理、人力资源、信息中心、旅游服务、保险和股票估价。
虽然商业领袖们很容易明白这些关系的价值,比如支付给专家更低的工资,但是实现起来却比较困难。PCI DSS和 HIPAA等都明确规定将严惩入侵以及传输含有敏感信息、金融信息和个人信息的数据。另外,美国具体处理违约通知条例表明,企业应为个人信息以及金融信息泄露负责,即使这是由第三方的安全缺陷造成的。出于这些风险考虑,许多金融公司选择将信息保存在公司内部以保证其安全性,但是允许他们的合作伙伴来管理这些数据。这就导致身份管理联盟技术的兴起,OASIS的安全声明标记语言(SAML)就是其中的一种。然而,就像90年代的公钥基础设施(PKI)的发展一样,采用“信任通道”的安全策略来管理企业与其合作伙伴的合作仍然滞后于商业发展的需要。
身份管理联盟
身份管理联盟发展滞后是有一些原因的。其中最主要的原因是金融公司与其合作伙伴之间缺乏如何进行“信任通道”的合同规范。没有适当的合同规范,公司就没有办法确定采用第三方之后给他们带来的风险,如果第三方违反条例后他们的责任会在多大程度上得到缓解。
另一个主要问题是,在身份管理联盟中,一个身份管理服务供应商要向多家合作伙伴提供信息身份管理服务。而运作这么多的身份管理要经过很多版本的多项条约,管理的复杂性不言而喻,所以很少有公司愿意成为身份管理服务供应商。
而信任关系信息传输过程中的主要技术也是造成管理复杂性的一部分原因。数据联合技术的采用使得“安全声明”的传输得以完成。数据联合技术包括:安全声明标记语言和自由联盟(Liberty Alliance,一个致力于解决数字身份问题的业界联盟)的身份认证联盟框架(ID-FF),这两者都是切实可行的解决方案。现在已有三个版本的安全声明标记语言被金融产业采用,它们分别是:V1.0、V1.1 和V2.0;还有两个版本的ID-FF被采用:V1.1 和V1.2。虽然它们都是可行的,但是互相之间却不兼容。这就需要公司支持多种技术,甚至所有的技术。
最后,很难保证第三方能通过正确的授权进行系统查看和管理金融公司的信息。
