È difficile dimostrare che una pratica è standard del settore, ma presenterò alcuni scenari che ho trovato.
Diamo un'occhiata ad alcuni dei tuoi vincoli:
- Gli utenti devono essere presentati solo con le proprie personali PII quando utilizzano il sistema
- Gli utenti non dovrebbero essere in grado di cercare le PII degli altri utenti
- Gli utenti non conoscono o ricordano necessariamente l'ID (chiave) a cui sono stati assegnati
Il tuo scenario di 10 informazioni sul profilo a caso permeato non sembra accettabile, specialmente se rivela PII reali senza autenticazione - qualcuno sapendo che la persona lo riconoscerà, per esempio, o potrebbe convalidare un profilo è reale mediante riferimenti incrociati contro altri database PII trapelati. Potrebbe benissimo violare le norme sulla protezione dei dati.
Sembra che la tua organizzazione abbia già eseguito il provisioning degli account degli utenti per archiviare le proprie PII e averle digitate con un ID univoco globale. Dovrai creare un sistema di autenticazione che aiuti gli utenti ad accedere e ad accedere alle informazioni fornite. Questo sistema dovrebbe consentire una varietà di scenari di autenticazione poiché non tutti gli utenti saranno in grado di utilizzare l'ID assegnato.
Accedi utilizzando l'ID univoco globale
Questo è uno scenario comune con le organizzazioni, tuttavia non necessariamente il più semplice. In genere, prima che l'utente interagisca per la prima volta con la piattaforma online, l'organizzazione molto probabilmente sarà stata in contatto con loro attraverso altri mezzi.
Se la tua organizzazione è in comunicazione con l'utente con qualsiasi mezzo (es. email o posta ordinaria), può essere una buona idea specificare in modo proattivo l'ID univoco globale, ad esempio come intestazione, poiché ciò dovrebbe aiutare problema "dimenticando l'ID". Conoscendo queste informazioni, l'utente dovrebbe essere in grado di richiedere l'invio di una password temporanea attraverso lo stesso canale per richiedere l'account fornito.
Il processo di reclamo potrebbe includere la verifica delle PII.
Accedi utilizzando un'e-mail o un numero di telefono
Ora, supponendo che gli utenti non conoscano l'ID univoco globale assegnato, dovrebbero comunque conoscere il proprio indirizzo email o numero di telefono.
Se un utente inserisce il proprio numero di telefono o e-mail, è possibile cercarlo e confrontarlo con il database. Se esiste una corrispondenza (ad esempio, la raccolta di dati offline e la digitazione digitale funzionano senza errori), è possibile inviare una password temporanea a quello stesso indirizzo email o numero di telefono (ad esempio come testo). Dovrebbe essere una scommessa sicura presumere di avere personalmente il controllo dell'email o del numero di telefono appena inserito nel sistema . L'utente può quindi inserire questa password temporanea e procedere per verificare e rivendicare il proprio account utente.
Non dovresti riconoscere che l'indirizzo email o il numero di telefono esistono o non esistono nel tuo database, tuttavia, e invece dichiarare semplicemente che un'azione sarebbe stata intrapresa se la voce fosse valida.
Altri pensieri
Ora capisco di aver parlato di "rivendicazione di un account utente". Accetto che possa essere una barriera per alcuni utenti creare o altrimenti possedere ancora un altro account utente e ricordare ancora una volta un'altra password, specialmente per qualcosa su cui si collegano al massimo una volta all'anno. È possibile valutare la difficoltà di richiedere l'impostazione di una password personale per richiedere l'account, ma a lungo termine questo potrebbe essere utile - Penso che il processo di reclamo sia più complicato della gestione dell'account utente "normale", per non dire meno sicuro .
Tieni presente che forse dovresti pensare anche a una procedura di supporto utente e quindi a un telefono o altra procedura di verifica.
Sulle password "temporanee": dovresti decidere se devono essere limitate nel tempo o se dovrebbero essere disattivate solo una volta utilizzate la prima volta (password monouso).
Ho anche visto una procedura che utilizzava il nome e l'indirizzo postale come una forma di identificazione e la password sarebbe stata inviata in una lettera a questo indirizzo. Ora mi sento un po 'meno a mio agio in quanto richiederebbe un intervento manuale da parte delle ONG per valutare la validità della richiesta - il nome e l'indirizzo noti potrebbero differire dalle informazioni specificate nella richiesta di password, quindi l'operatore dovrebbe verificare manualmente se corrispondono plausibilmente (ad es. formattazione diversa, accenti, ecc ...). Questo è aperto all'errore umano, quindi non lo raccomanderò, a meno che tu non abbia le risorse e la manodopera per assicurarlo.