<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Colin, I can pitch in on some of these:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>What are the latest advances in ID Management technology?<br><br>How has it evolved over the years?<br><br></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>ID management has been largely about people in the past. How will &nbsp;the Internet of Things change that, if at all?<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>I can use UMA and IRM as an examplse and also bring in some of the things we have been talking about in the IDoT DG.</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> lc-bounces@kantarainitiative.org [mailto:lc-bounces@kantarainitiative.org] <b>On Behalf Of </b>Colin Wallis<br><b>Sent:</b> Monday, February 22, 2016 5:50 PM<br><b>To:</b> Mike Schwartz<br><b>Cc:</b> Kantara Leadership Council Kantara<br><b>Subject:</b> Re: [KI-LC] Media query from SC Magazine - deadline 2/26/2016 17:30:00<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>OK, thanks for that offer Mike.<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>But the thing is, the guy asked Kantara, so he is expecting a response from experts on behalf of Kantara.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Taking him to Gluu is kind of one step removed.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>I'm happy for responses to contain links to Gluu and elsewhere, but I think we are setting ourselves up for some copyright concerns if we point folks away, straight out of the gate.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>Cheers<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-family:"Calibri","sans-serif"'>Colin<o:p></o:p></span></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif"'>&gt; Date: Mon, 22 Feb 2016 15:11:16 -0600<br>&gt; From: <a href="mailto:mike@gluu.org">mike@gluu.org</a><br>&gt; To: <a href="mailto:colin_wallis@hotmail.com">colin_wallis@hotmail.com</a><br>&gt; CC: <a href="mailto:lc@kantarainitiative.org">lc@kantarainitiative.org</a><br>&gt; Subject: Re: [KI-LC] Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>&gt; <br>&gt; <br>&gt; Colin,<br>&gt; <br>&gt; I'll can offer to take a stab at responding to these questions by the <br>&gt; date requested on a Gluu blog.<br>&gt; <br>&gt; thx,<br>&gt; <br>&gt; Mike<br>&gt; <br>&gt; On 2016-02-22 11:13, Colin Wallis wrote:<br>&gt; &gt; Thanks Ken<br>&gt; &gt; We'll consider this question dealt to.<br>&gt; &gt; Anyone else want to take on one of the others?<br>&gt; &gt; Cheers<br>&gt; &gt; Colin<br>&gt; &gt; .....................................<br>&gt; &gt;&gt; At airports around the world, travelers' identities are routinely<br>&gt; &gt; verified using biometric identification. Recently in India, a new<br>&gt; &gt; facility for pension distribution adapted an iris authentication<br>&gt; &gt; scanner to validate citizens. New generations of fully integrated,<br>&gt; &gt; end-to-end cloud identity management platforms offer clients secure<br>&gt; &gt; and flexible means to pick and choose which services they need. For<br>&gt; &gt; this latest ebook from SC Magazine, we speak to a number of experts<br>&gt; &gt; with hands-on experience about how these advances in technologies are<br>&gt; &gt; changing the face of identity management and opening up new<br>&gt; &gt; opportunities for the enterprise to become more secure&#8212;and we&#8217;ll<br>&gt; &gt; throw in a few caveats (for one, what happens to privacy when<br>&gt; &gt; biometrics are added to the mix?) that any organization should heed<br>&gt; &gt; when revamping its identity management strategy.<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Here are the questions he's exploring:<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What are the latest advances in ID Management technology?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How has it evolved over the years?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What happens to privacy when biometrics are thrown into the mix?<br>&gt; &gt; GONE GONE....<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How are ID management systems and access management/roles-based<br>&gt; &gt; management converging?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; ID management has been largely about people in the past. How will<br>&gt; &gt; the Internet of Things change that, if at all?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Is authentication keeping up with trends in ID management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; My identity as my wife sees it may be different to my identity as my<br>&gt; &gt; bank sees it, which may be different again to my identity as my<br>&gt; &gt; employer sees it. How do we cope with multiple attributes in ID<br>&gt; &gt; management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How do we maintain and preserve identity in the long term, as a<br>&gt; &gt; person's life and circumstances change?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Are there standard for ID management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What are the biggest challenges facing companies that want to design<br>&gt; &gt; and deploy their own ID management systems?<br>&gt; &gt; <br>&gt; &gt; -------------------------<br>&gt; &gt; Date: Mon, 22 Feb 2016 06:58:22 -0500<br>&gt; &gt; Subject: Re: [KI-LC] FW: Media query from SC Magazine - deadline<br>&gt; &gt; 2/26/2016 17:30:00<br>&gt; &gt; From: <a href="mailto:kendaggtbs@gmail.com">kendaggtbs@gmail.com</a><br>&gt; &gt; To: <a href="mailto:colin_wallis@hotmail.com">colin_wallis@hotmail.com</a><br>&gt; &gt; CC: <a href="mailto:lc@kantarainitiative.org">lc@kantarainitiative.org</a><br>&gt; &gt; <br>&gt; &gt; Colin,<br>&gt; &gt; <br>&gt; &gt; I agree fully that the first two paragraphs address the scope of his<br>&gt; &gt; question regarding biometrics and privacy.<br>&gt; &gt; <br>&gt; &gt; However, your comment, &quot;sense of direction of travel for SC Magazine<br>&gt; &gt; being towards Data Protection&quot; prompts me to include the rest of the<br>&gt; &gt; material regarding Privacy. In my opinion, a focus solely on data<br>&gt; &gt; protection misses the boat on respecting privacy and probably does it<br>&gt; &gt; a disservice. As you are aware, having the best data protection<br>&gt; &gt; practices in the world while using an individual's PII for unstated<br>&gt; &gt; purposes or disclosing it inappropriately, still means the<br>&gt; &gt; organization is not respecting an individual's privacy.<br>&gt; &gt; <br>&gt; &gt; I agree with your concern regarding &quot;a compromise in the sample or the<br>&gt; &gt; templates database&quot; being a major issue with respect to an individual<br>&gt; &gt; having to re-establish and re-bind their identity. However, I would<br>&gt; &gt; argue that the same holds true for any piece of an individual's PII<br>&gt; &gt; that is used by an organization. Biometric data, because it is viewed<br>&gt; &gt; as unique to an individual, is in some organization's minds, viewed as<br>&gt; &gt; a silver bullet with respect to Identifcation. However, in my opinion,<br>&gt; &gt; it is just another piece of data that can be used to mitigate the risk<br>&gt; &gt; of misidentification. If the consequences of misidentification are<br>&gt; &gt; severe it should still be corroborated with other PII. In other words,<br>&gt; &gt; it is not a silver bullet.<br>&gt; &gt; <br>&gt; &gt; This being said, I restructured the answer to address the &quot;silver<br>&gt; &gt; bullet&quot; concept as well as the out-of-scope text. I would recommend<br>&gt; &gt; including the background in the response as I believe that it is<br>&gt; &gt; important to raise the &quot;technology neutral&quot; idea with respect to<br>&gt; &gt; privacy policy/legislation. I would like to start the process of<br>&gt; &gt; changing the perception held by many people that current policy is<br>&gt; &gt; outdated or has been overtaken by advances in technology. (My soapbox<br>&gt; &gt; rant for the day)<br>&gt; &gt; <br>&gt; &gt; Wile we probably aren't going to be killed for not answering all the<br>&gt; &gt; questions I hope that others can address some of them.<br>&gt; &gt; <br>&gt; &gt; Ken<br>&gt; &gt; <br>&gt; &gt; ==============<br>&gt; &gt; <br>&gt; &gt; The perception that something should happen to privacy because<br>&gt; &gt; biometrics enter the mix is erroneous.<br>&gt; &gt; <br>&gt; &gt; Privacy is a state that is respected when an individual understands<br>&gt; &gt; and consents to how their personally identifiable information (PII) is<br>&gt; &gt; collected, maintained, used, disclosed and disposed. Biometric<br>&gt; &gt; information, given its uniqueness to each individual, should be<br>&gt; &gt; considered to be PII.<br>&gt; &gt; <br>&gt; &gt; Regardless of its apparent uniqueness, an organization that wishes to<br>&gt; &gt; mitigate the risk of misidentification of an individual should not<br>&gt; &gt; look at biometric data as a &quot;silver bullet&quot;. If the consequences of<br>&gt; &gt; misidentification are high they should still corroborate the biometric<br>&gt; &gt; data with other PII during their authentication. The process, whether<br>&gt; &gt; in the digital or real world, still requires an organization to<br>&gt; &gt; identify the consequences of misidentification before it puts in place<br>&gt; &gt; procedures and techniques (such as the use of biometric data) to<br>&gt; &gt; mitigate that risk.<br>&gt; &gt; <br>&gt; &gt; Background on Privacy<br>&gt; &gt; <br>&gt; &gt; It should be noted that jurisdictions around the world have identified<br>&gt; &gt; that respect of an individual's privacy is technology neutral.<br>&gt; &gt; <br>&gt; &gt; For the US Government NIST Special Publication 800-122 defines PII as<br>&gt; &gt; &quot;any information about an individual maintained by an agency,<br>&gt; &gt; including (1) any information that can be used to distinguish or trace<br>&gt; &gt; an individual&#8216;s identity, such as name, social security number, date<br>&gt; &gt; and place of birth, mother&#8216;s maiden name, or biometric records; and<br>&gt; &gt; (2) any other information that is linked or linkable to an individual,<br>&gt; &gt; such as medical, educational, financial, and employment information.&quot;<br>&gt; &gt; <br>&gt; &gt; In other countries with privacy protection laws derived from the OECD<br>&gt; &gt; privacy principles, the term used is more often &quot;personal<br>&gt; &gt; information&quot;. This term, in general, is broader than PII. For example,<br>&gt; &gt; there are two pieces of legislation that cover privacy at the federal<br>&gt; &gt; level in Canada: the Privacy Act and the Personal Information<br>&gt; &gt; Protection and Electronic Documents Act (PIPEDA). The Privacy Act<br>&gt; &gt; relates to an individual&#8217;s right to access and correct personal<br>&gt; &gt; information the Government of Canada holds about them or the<br>&gt; &gt; Government&#8217;s collection, use and disclosure of their personal<br>&gt; &gt; information in the course of providing services (e.g., old age<br>&gt; &gt; pensions or employment insurance). PIPEDA sets out the ground rules<br>&gt; &gt; for how private-sector organizations collect, use or disclose personal<br>&gt; &gt; information in the course of commercial activities across Canada.<br>&gt; &gt; <br>&gt; &gt; Both acts is essence define personal information to be any factual or<br>&gt; &gt; subjective information, recorded or not, about an identifiable<br>&gt; &gt; individual. This includes information in any form, such as:<br>&gt; &gt; * age, name, ID numbers, income, ethnic origin, or blood type;<br>&gt; &gt; * opinions, evaluations, comments, social status, or disciplinary<br>&gt; &gt; actions; and<br>&gt; &gt; * employee files, credit records, loan records, medical records,<br>&gt; &gt; existence of a dispute between a consumer and a merchant, intentions<br>&gt; &gt; (for example, to acquire goods or services, or change jobs).<br>&gt; &gt; <br>&gt; &gt; Excluded is information concerning the name, title, business address<br>&gt; &gt; or telephone number of an employee of an organization.<br>&gt; &gt; <br>&gt; &gt; Both acts identify how personal information should be collected,<br>&gt; &gt; maintained, used, disclosed and disposed. Of interest is the<br>&gt; &gt; requirement to identify a retention period for the personal<br>&gt; &gt; information that is collected about an individual and how that<br>&gt; &gt; information is expunged from an organization's records.<br>&gt; &gt; <br>&gt; &gt; Also of interest is how the power and versatility of re-identification<br>&gt; &gt; algorithms have significantly increased the ability of identifying an<br>&gt; &gt; individual without the use of PII. As such, Big Data is becoming an<br>&gt; &gt; issue in privacy circles.<br>&gt; &gt; <br>&gt; &gt; &lt;snip&gt;<br>&gt; &gt; <br>&gt; &gt; <br>&gt; &gt; _______________________________________________<br>&gt; &gt; LC mailing list<br>&gt; &gt; <a href="mailto:LC@kantarainitiative.org">LC@kantarainitiative.org</a><br>&gt; &gt; <a href="http://kantarainitiative.org/mailman/listinfo/lc">http://kantarainitiative.org/mailman/listinfo/lc</a><br>&gt; <br>&gt; -- <br>&gt; -------------------------------------<br>&gt; Michael Schwartz<br>&gt; Gluu<br>&gt; Founder / CEO<br>&gt; <a href="mailto:mike@gluu.org">mike@gluu.org</a><o:p></o:p></span></p></div></div></div></div></body></html>