<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>That's great. Many thanks Sal.<div>Perfect timing for the IRM call coming up in a few hours.</div><div>Cheers</div><div>Colin<br><br><div><hr id="stopSpelling">From: sal@idmachines.com<br>To: colin_wallis@hotmail.com; mike@gluu.org<br>CC: lc@kantarainitiative.org<br>Subject: RE: [KI-LC] Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>Date: Mon, 22 Feb 2016 18:40:35 -0500<br><br><style><!--
.ExternalClass p.ecxMsoNormal, .ExternalClass li.ecxMsoNormal, .ExternalClass div.ecxMsoNormal {
font-size:12.0pt;
font-family:"Times New Roman","serif";
}

.ExternalClass a:link, .ExternalClass span.ecxMsoHyperlink {
color:blue;
text-decoration:underline;
}

.ExternalClass span.ecxMsoHyperlinkFollowed {
color:purple;
text-decoration:underline;
}

.ExternalClass p {
font-size:12.0pt;
font-family:"Times New Roman","serif";
}

.ExternalClass span.ecxEmailStyle18 {
font-family:"Calibri","sans-serif";
color:#1F497D;
}

.ExternalClass .ecxMsoChpDefault {
font-size:10.0pt;
}

.ExternalClass div.ecxWordSection1 {
}

--></style><div class="ecxWordSection1"><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1F497D;">Colin, I can pitch in on some of these:</span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1F497D;">&nbsp;</span></p><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">What are the latest advances in ID Management technology?<br><br>How has it evolved over the years?<br><br></span><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1F497D;"></span></p><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">ID management has been largely about people in the past. How will &nbsp;the Internet of Things change that, if at all?</span></p><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">&nbsp;</span></p><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">I can use UMA and IRM as an examplse and also bring in some of the things we have been talking about in the IDoT DG.</span><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1F497D;"></span></p><p class="ecxMsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1F497D;">&nbsp;</span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in;"><p class="ecxMsoNormal"><b><span style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;">From:</span></b><span style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;;"> lc-bounces@kantarainitiative.org [mailto:lc-bounces@kantarainitiative.org] <b>On Behalf Of </b>Colin Wallis<br><b>Sent:</b> Monday, February 22, 2016 5:50 PM<br><b>To:</b> Mike Schwartz<br><b>Cc:</b> Kantara Leadership Council Kantara<br><b>Subject:</b> Re: [KI-LC] Media query from SC Magazine - deadline 2/26/2016 17:30:00</span></p></div></div><p class="ecxMsoNormal">&nbsp;</p><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">OK, thanks for that offer Mike.</span></p><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">But the thing is, the guy asked Kantara, so he is expecting a response from experts on behalf of Kantara.</span></p></div><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">Taking him to Gluu is kind of one step removed.</span></p></div><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">I'm happy for responses to contain links to Gluu and elsewhere, but I think we are setting ourselves up for some copyright concerns if we point folks away, straight out of the gate.</span></p></div><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">Cheers</span></p></div><div><p class="ecxMsoNormal" style=""><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">Colin</span></p><div><p class="ecxMsoNormal"><span style="font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;">&gt; Date: Mon, 22 Feb 2016 15:11:16 -0600<br>&gt; From: <a href="mailto:mike@gluu.org">mike@gluu.org</a><br>&gt; To: <a href="mailto:colin_wallis@hotmail.com">colin_wallis@hotmail.com</a><br>&gt; CC: <a href="mailto:lc@kantarainitiative.org">lc@kantarainitiative.org</a><br>&gt; Subject: Re: [KI-LC] Media query from SC Magazine - deadline 2/26/2016 17:30:00<br>&gt; <br>&gt; <br>&gt; Colin,<br>&gt; <br>&gt; I'll can offer to take a stab at responding to these questions by the <br>&gt; date requested on a Gluu blog.<br>&gt; <br>&gt; thx,<br>&gt; <br>&gt; Mike<br>&gt; <br>&gt; On 2016-02-22 11:13, Colin Wallis wrote:<br>&gt; &gt; Thanks Ken<br>&gt; &gt; We'll consider this question dealt to.<br>&gt; &gt; Anyone else want to take on one of the others?<br>&gt; &gt; Cheers<br>&gt; &gt; Colin<br>&gt; &gt; .....................................<br>&gt; &gt;&gt; At airports around the world, travelers' identities are routinely<br>&gt; &gt; verified using biometric identification. Recently in India, a new<br>&gt; &gt; facility for pension distribution adapted an iris authentication<br>&gt; &gt; scanner to validate citizens. New generations of fully integrated,<br>&gt; &gt; end-to-end cloud identity management platforms offer clients secure<br>&gt; &gt; and flexible means to pick and choose which services they need. For<br>&gt; &gt; this latest ebook from SC Magazine, we speak to a number of experts<br>&gt; &gt; with hands-on experience about how these advances in technologies are<br>&gt; &gt; changing the face of identity management and opening up new<br>&gt; &gt; opportunities for the enterprise to become more secure—and we’ll<br>&gt; &gt; throw in a few caveats (for one, what happens to privacy when<br>&gt; &gt; biometrics are added to the mix?) that any organization should heed<br>&gt; &gt; when revamping its identity management strategy.<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Here are the questions he's exploring:<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What are the latest advances in ID Management technology?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How has it evolved over the years?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What happens to privacy when biometrics are thrown into the mix?<br>&gt; &gt; GONE GONE....<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How are ID management systems and access management/roles-based<br>&gt; &gt; management converging?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; ID management has been largely about people in the past. How will<br>&gt; &gt; the Internet of Things change that, if at all?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Is authentication keeping up with trends in ID management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; My identity as my wife sees it may be different to my identity as my<br>&gt; &gt; bank sees it, which may be different again to my identity as my<br>&gt; &gt; employer sees it. How do we cope with multiple attributes in ID<br>&gt; &gt; management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; How do we maintain and preserve identity in the long term, as a<br>&gt; &gt; person's life and circumstances change?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; Are there standard for ID management?<br>&gt; &gt;&gt; <br>&gt; &gt;&gt; What are the biggest challenges facing companies that want to design<br>&gt; &gt; and deploy their own ID management systems?<br>&gt; &gt; <br>&gt; &gt; -------------------------<br>&gt; &gt; Date: Mon, 22 Feb 2016 06:58:22 -0500<br>&gt; &gt; Subject: Re: [KI-LC] FW: Media query from SC Magazine - deadline<br>&gt; &gt; 2/26/2016 17:30:00<br>&gt; &gt; From: <a href="mailto:kendaggtbs@gmail.com">kendaggtbs@gmail.com</a><br>&gt; &gt; To: <a href="mailto:colin_wallis@hotmail.com">colin_wallis@hotmail.com</a><br>&gt; &gt; CC: <a href="mailto:lc@kantarainitiative.org">lc@kantarainitiative.org</a><br>&gt; &gt; <br>&gt; &gt; Colin,<br>&gt; &gt; <br>&gt; &gt; I agree fully that the first two paragraphs address the scope of his<br>&gt; &gt; question regarding biometrics and privacy.<br>&gt; &gt; <br>&gt; &gt; However, your comment, "sense of direction of travel for SC Magazine<br>&gt; &gt; being towards Data Protection" prompts me to include the rest of the<br>&gt; &gt; material regarding Privacy. In my opinion, a focus solely on data<br>&gt; &gt; protection misses the boat on respecting privacy and probably does it<br>&gt; &gt; a disservice. As you are aware, having the best data protection<br>&gt; &gt; practices in the world while using an individual's PII for unstated<br>&gt; &gt; purposes or disclosing it inappropriately, still means the<br>&gt; &gt; organization is not respecting an individual's privacy.<br>&gt; &gt; <br>&gt; &gt; I agree with your concern regarding "a compromise in the sample or the<br>&gt; &gt; templates database" being a major issue with respect to an individual<br>&gt; &gt; having to re-establish and re-bind their identity. However, I would<br>&gt; &gt; argue that the same holds true for any piece of an individual's PII<br>&gt; &gt; that is used by an organization. Biometric data, because it is viewed<br>&gt; &gt; as unique to an individual, is in some organization's minds, viewed as<br>&gt; &gt; a silver bullet with respect to Identifcation. However, in my opinion,<br>&gt; &gt; it is just another piece of data that can be used to mitigate the risk<br>&gt; &gt; of misidentification. If the consequences of misidentification are<br>&gt; &gt; severe it should still be corroborated with other PII. In other words,<br>&gt; &gt; it is not a silver bullet.<br>&gt; &gt; <br>&gt; &gt; This being said, I restructured the answer to address the "silver<br>&gt; &gt; bullet" concept as well as the out-of-scope text. I would recommend<br>&gt; &gt; including the background in the response as I believe that it is<br>&gt; &gt; important to raise the "technology neutral" idea with respect to<br>&gt; &gt; privacy policy/legislation. I would like to start the process of<br>&gt; &gt; changing the perception held by many people that current policy is<br>&gt; &gt; outdated or has been overtaken by advances in technology. (My soapbox<br>&gt; &gt; rant for the day)<br>&gt; &gt; <br>&gt; &gt; Wile we probably aren't going to be killed for not answering all the<br>&gt; &gt; questions I hope that others can address some of them.<br>&gt; &gt; <br>&gt; &gt; Ken<br>&gt; &gt; <br>&gt; &gt; ==============<br>&gt; &gt; <br>&gt; &gt; The perception that something should happen to privacy because<br>&gt; &gt; biometrics enter the mix is erroneous.<br>&gt; &gt; <br>&gt; &gt; Privacy is a state that is respected when an individual understands<br>&gt; &gt; and consents to how their personally identifiable information (PII) is<br>&gt; &gt; collected, maintained, used, disclosed and disposed. Biometric<br>&gt; &gt; information, given its uniqueness to each individual, should be<br>&gt; &gt; considered to be PII.<br>&gt; &gt; <br>&gt; &gt; Regardless of its apparent uniqueness, an organization that wishes to<br>&gt; &gt; mitigate the risk of misidentification of an individual should not<br>&gt; &gt; look at biometric data as a "silver bullet". If the consequences of<br>&gt; &gt; misidentification are high they should still corroborate the biometric<br>&gt; &gt; data with other PII during their authentication. The process, whether<br>&gt; &gt; in the digital or real world, still requires an organization to<br>&gt; &gt; identify the consequences of misidentification before it puts in place<br>&gt; &gt; procedures and techniques (such as the use of biometric data) to<br>&gt; &gt; mitigate that risk.<br>&gt; &gt; <br>&gt; &gt; Background on Privacy<br>&gt; &gt; <br>&gt; &gt; It should be noted that jurisdictions around the world have identified<br>&gt; &gt; that respect of an individual's privacy is technology neutral.<br>&gt; &gt; <br>&gt; &gt; For the US Government NIST Special Publication 800-122 defines PII as<br>&gt; &gt; "any information about an individual maintained by an agency,<br>&gt; &gt; including (1) any information that can be used to distinguish or trace<br>&gt; &gt; an individual‘s identity, such as name, social security number, date<br>&gt; &gt; and place of birth, mother‘s maiden name, or biometric records; and<br>&gt; &gt; (2) any other information that is linked or linkable to an individual,<br>&gt; &gt; such as medical, educational, financial, and employment information."<br>&gt; &gt; <br>&gt; &gt; In other countries with privacy protection laws derived from the OECD<br>&gt; &gt; privacy principles, the term used is more often "personal<br>&gt; &gt; information". This term, in general, is broader than PII. For example,<br>&gt; &gt; there are two pieces of legislation that cover privacy at the federal<br>&gt; &gt; level in Canada: the Privacy Act and the Personal Information<br>&gt; &gt; Protection and Electronic Documents Act (PIPEDA). The Privacy Act<br>&gt; &gt; relates to an individual’s right to access and correct personal<br>&gt; &gt; information the Government of Canada holds about them or the<br>&gt; &gt; Government’s collection, use and disclosure of their personal<br>&gt; &gt; information in the course of providing services (e.g., old age<br>&gt; &gt; pensions or employment insurance). PIPEDA sets out the ground rules<br>&gt; &gt; for how private-sector organizations collect, use or disclose personal<br>&gt; &gt; information in the course of commercial activities across Canada.<br>&gt; &gt; <br>&gt; &gt; Both acts is essence define personal information to be any factual or<br>&gt; &gt; subjective information, recorded or not, about an identifiable<br>&gt; &gt; individual. This includes information in any form, such as:<br>&gt; &gt; * age, name, ID numbers, income, ethnic origin, or blood type;<br>&gt; &gt; * opinions, evaluations, comments, social status, or disciplinary<br>&gt; &gt; actions; and<br>&gt; &gt; * employee files, credit records, loan records, medical records,<br>&gt; &gt; existence of a dispute between a consumer and a merchant, intentions<br>&gt; &gt; (for example, to acquire goods or services, or change jobs).<br>&gt; &gt; <br>&gt; &gt; Excluded is information concerning the name, title, business address<br>&gt; &gt; or telephone number of an employee of an organization.<br>&gt; &gt; <br>&gt; &gt; Both acts identify how personal information should be collected,<br>&gt; &gt; maintained, used, disclosed and disposed. Of interest is the<br>&gt; &gt; requirement to identify a retention period for the personal<br>&gt; &gt; information that is collected about an individual and how that<br>&gt; &gt; information is expunged from an organization's records.<br>&gt; &gt; <br>&gt; &gt; Also of interest is how the power and versatility of re-identification<br>&gt; &gt; algorithms have significantly increased the ability of identifying an<br>&gt; &gt; individual without the use of PII. As such, Big Data is becoming an<br>&gt; &gt; issue in privacy circles.<br>&gt; &gt; <br>&gt; &gt; &lt;snip&gt;<br>&gt; &gt; <br>&gt; &gt; <br>&gt; &gt; _______________________________________________<br>&gt; &gt; LC mailing list<br>&gt; &gt; <a href="mailto:LC@kantarainitiative.org">LC@kantarainitiative.org</a><br>&gt; &gt; <a href="http://kantarainitiative.org/mailman/listinfo/lc" target="_blank">http://kantarainitiative.org/mailman/listinfo/lc</a><br>&gt; <br>&gt; -- <br>&gt; -------------------------------------<br>&gt; Michael Schwartz<br>&gt; Gluu<br>&gt; Founder / CEO<br>&gt; <a href="mailto:mike@gluu.org">mike@gluu.org</a></span></p></div></div></div></div></div></div>                                               </div></body>
</html>