Üks näide saidist, kus tahtsin lihtsalt foorumit lugeda:
Küsimus: Selline küsimus – miks küsib tarkinvestor.ee registreerumisel minu isikukoodi? Millise teenuse pakkumisel või kasutajatingimuste punkti juures see info vajalik on?
Vastus: Isikukoodi küsimine on ettevaatavalt seoses Tark Investori veebikeskonna arendamisega. Tuleval sügisel on võimalik kasutada teenuseid, mille puhul on see info vajalik.
Ei veena. Minu seisukoht, et küsida tuleb nii palju infot, kui parasjagu vaja on, mitte nii palju, kui kunagi äkki hea on omada. Kui sul on hea põhjus, miks ma peaksin sulle 6 kuu pärast isikukoodi andma (näiteks, et sisse logida ID-kaardiga, seeläbi turvalisust tõstes), siis vabalt, teeme ära.
Paistab, et nad liiguvad vaikselt ID-kaardi suunas? Muideks, isikukoodi saaksid nad ka pangalinkide kaudu sisse logimist kasutades teada. :)
Selle vastu on rohtu ja see rohi on tehnoloogiline ja varsti tulemas.
Muidugi firmade, kelle käitumine on ‘anna enda vanaema kinganumber ja naise telefoninumber, enne kommi ei müü’ vastu ei aita miski.
Aga mis selles halba on, et nad isikukoodi küsivad? Paljalt teadmisega, et kellegi isikukood on see ja see, ei saa ju inimesele kuidagi kahju tekitada?
Tere Siim,
Su blogi mul RSS-feedi otsas, seega saan ka kiirelt vastata. Agente või bot’e kes kõike veebis tarkinvestor.ee kohta kirjutatavat skänniks ei ole :)
Tegelikult on põhjuseid kaks, miks me isikukoodi küsime:
1) Esimene on see, mida ka klienditugi vastas. Plaan oli veidi varem isikukoodi vajavate teenusteni jõuda, kuid praegu paistab pigem sügis, seega hakkasime ettevaatavalt küsima.
2) Teine põhjus on foorumid – olen erinevate online community’tega mitmel puhul kokku puutunud, olen näinud kui kiiresti võib muutuda foorum läbuks. Isikukoodi küsimine on seega olnud distiplineeriva eesmärgiga ka ja on toiminud väga hästi, TI foorumites igaüks teab, et vastutab oma sõnade eest ja läbu puudub.
—-
Pean ise kasutusmugavust ja “nii vähe kui võimalik ja nii palju kui vajalik” mõtet oluliseks, seetõttu tegelikult mõtlesin tükk aega, kas lisada registreerumisankeeti ka isikukood. Kuid ülaltoodud tegurite tõttu otsustasin selle lisada ja ma arvan, et olnud õige otsus.
Too põhjendus küll kriitikat ei kannata, aga siin on ka võimalik üks selline selgitus isikukoodi küsimisele, et investeerimisnõuandeid jagav firma, kes kasutajatel foorumisõnavõtte lubab, peab omama ülevaadet ja andmeid selle kohta, kes tema foorumis sõna võtavad. Juhuks kui sõnavõtjad hakkavad seal tegelema siseinfo levitamise või turumanipulatsiooniga. Üksnes nimest tänapäeval selleks kahjuks ei piisa.
Pean tihti seoses ühe töökohaga külastama Eesti Posti kontoreid, et järgi käia tähitud kirjadel. Kuni selle aasta alguseni nõuti millegipärast isikukoodi postisaadetise teate peale. Jonnisin vastu ja panin ainult sünnikuupäeva. Nüüdseks on blanketid muutunud ja isikukoodi nõudmine vaibunud.
Kristjan – Aitäh vastuse eest. Kui keegi veel klienditoele kirjutab ja küsib, siis saatkegi sinu vastus. Ammendavam ja natuke rohkem veenev
Margus – Miks see mind häirib? Sest ma ei taha, et liiga paljud kohad minu kohta liiga palju infot koguvad. Mina ei tea mis turvalisusega erinevad veebilehed minu isikuinfot hoiavad. Ja kui peaks välja lekkima minu isikukood, kodune aadress ja nimi, siis selle infoga annab juba teha küll asju.
mnjah, isikukood+ligipääs rahvastikuregistrisse ja kogu oluline data isiku kohta olemas :)
ma isiklikult heaga väldin kohtasid, kus küsitakse registreerimisel liiga palju infot, kuna siiani enamasti pole selge, milleks on vaja peale ühe kasutajanime+emaili ka muid lisa andmeid nagu kodune aadress, telefoni nr, isikukood.
ja lisaks, kui murtakse süsteem maha, kus pead regima ja rohkelt infot endast jagama, on pahandust kui palju ja ohtu, et mingi jama varem vöi hiljem vöib tekkida.
Mitmes veebiteenuses mille arendamisega mina olen seotud küsime isikukoodi selleks, et inimene ID-kaardiga sisse saaks logida. Ei pea paroole meeles pidama. Mugav ja kiire. Aga sunduslik see pole, kes tahab, see kasutab.
Minu isikukood on 37407080217. Koduse aadressi ja muud andmed leiab Nagi profiilist. Kasutage aga.
Nõus, esialgne vastus ei olnud piisavalt veenev, aga kasulik märkus, edaspidi parandame.
Siinkohal võiks esitada väikese väljakutse kõigile – teades Jüri Kaljundi nime, isikukoodi, kodust aadressi ja meiliaadressi, registreeri Jüri mingi asja kliendiks, mõnele spordiüritusele, autokooli, klubi, partei, veebifoorumi liikmeks. Või pigem – ärge registreerige, aga pange kirja, et kuhu teda _saaks_ registreerida.
Teen omalt poolt otsa lahti:
1. Jüri, tere tulemast Reformierakonna liikmeks.
2. Ära pahanda, et su pangakaart suletud on.
3. SMS laenu võtmine on veidi raskem, selleks peaksin 20 sekundiks enda kätte saama sinu mobiiltelefoni.
4. See-eest oled nüüd LHV klient ja omad Väärtpaberikontot.
Huvitav kas selase isikukoodi välja taga peitub ka isikukoodi autentsuse kontroll. Muidu kõigest 11 kohaline number.
Iseasi kas ID kaardiga autentimise jaoks on vaja üldse isikukoodi küsida. Piisab teadmisest, et sertifikaat on kehtiv ja pärida sealt isikuandmetena eesnimi+perenimi jne. Juhul, kui topeltnimed tekitavad probleemi, siis peaks olema andmete koosseisus unikaalne vähemalt või peale esimest autentimist salvestada eesnimi+perenimi+isikukood+salt md5 hash. Netipanga kaudu autentimine ei eelda ka seda, et peaks just oma andmebaasi isikukoodi loetavale kujule salvestama ja piisab ka hashitud kujul salvestamisest peale esimest autentimiskatset, kui pank selle andmete koosseisus edastab.
Mingit turvalisust isikukoodi küsimine ID kaardi kontekstis juurde ju ei anna, sest visuaalset identifitseerimist ei toimu ja registreerimisvormi võib sisestada isikukoodi lihtsalt id kaardilt lugedes. Juhul, kui keegi on id kaardi saanud (vähemalt autentimisvõtmega) enda valdusesse ei tekita sellise pettuse ettevalmistamine niiehknaa enam probleeme.
Isikukoodi ei ole vaja minu arvates lihtsalt kasutaja profiili osana loetaval kujul säilitada. Eraldi võib ette kerkida vajadus erinevate lepingute sõlmimisel, aga sellel juhul on isikukoodi vaja ainult konkreetsele lepingule (isikukoodi saab, siis lugeda sertifikaadi andmetest või panga autentimisandmetest ühekordse toiminguna). Digiallkirja puhul ei ole allkirjastaja isikukoodi lepingule kirjutada vaja (volitajate omi ilmselt siiski on), sest isik on üheselt elektroonilise jälje kaudu identifitseeritav.
Muidugi on fakt ka see, et isikukood ei ole delikaatne isiku kohta käiv info. Siiski peab selle töötlemiseks olema isiku luba ja peab olema selgelt teada milleks sellist infot kasutatakse. Täpsemalt saab selle kohta vaadata isikuandmete kaitse seadusest.
LHV kliendiks ja väärtpaberikontot siiski nii kergesti ei saa. Selleks peab allkirjastama ka lepingu ning lisaks tuvastatakse isikusamasus ehk vaadatakse näkku ja kontrollitakse dokumente.
“Jüri, tere tulemast Reformierakonna liikmeks.”
Nad siiski kontrollivad, kas oled juba teise erakonna liige … Muig.
To Jüri Heero:
Saab kyll, ykski LHV tegelane pole mind kuskil kontoris n2inud. Konverentsil ehk kuskil, aga mitte niisama ja konto mul on olemas ja klient olen ka. Mis kasu mul oleks kellegi nime all investeerimisest, ma kohe ei tea, aga see selleks.