Compreender as práticas de segurança de dados da World

A segurança dos dados é um pré-requisito para qualquer projeto relacionado com as finanças ou a identidade. É por isso que é um elemento essencial da World.

O compromisso da World com a privacidade pessoal e a segurança dos dados começa com o fato de os dados se destinarem a ser controlados pelos próprios indivíduos em vez de qualquer identidade única.

Também foram integradas proteções robustas de dados em todas as vertentes do projeto, desde a verificação e início de sessão com o World ID até ao uso da World App, a primeira carteira desenvolvida para a World pela empresa que contribui para o seu crescimento, a Tools For Humanity (TFH).

A Orb, que verifica o World ID, é um dispositivo de última geração desenvolvido sob medida pela TFH para o projeto World que verifica a humanidade e a unicidade de uma pessoa usando um código da íris.

É importante salientar que todas as imagens usadas para criar o código da íris são automaticamente eliminadas por predefinição.

O hardware da Orb conta com diversos recursos de segurança concebidos para garantir que nenhum dado pode ser acedido por pessoas que não estão autorizadas a aceder a esses dados. Estes incluem duas chaves criptográficas únicas, ambas gravadas permanentemente no hardware da Orb: uma que é fornecida no processador principal antes do fabrico e outra localizada num elemento seguro que não pode ser exportado. A Orb não irá operar a menos que ambas as chaves sejam válidas e os seus ambientes estejam intactos, e nenhum código pode ser executado nela sem uma assinatura criptográfica.

Proteções adicionais de segurança do hardware da Orb e dos dados de backend incluem:

• Encriptação de dados assimétrica na Orb
• Processamento de dados somente na RAM
• Criptografia em unidades de estado sólido (SSD) "em repouso"
• Encriptação dos dados em trânsito da Orb para servidores seguros
• Utilização de servidores AWS e MongoDB localizados na UE para armazenamento de dados dos códigos da íris
• Auditorias regulares de segurança realizadas por auditores externos

Esta lista não está completa. Em vez disso, pretende demonstrar a seriedade com que a segurança dos dados é tratada na Orb. Os recursos de segurança são continuamente avaliados e melhorados pela TFH para garantir a integridade do projeto World.

Podes saber mais na secção Implementação técnica do documento técnico Worldcoin da World.

O World ID é um passaporte digital de humanidade criado para provar que és único e humano na internet. Ele pode ser mantido na World App e outras aplicações compatíveis com o World ID estarão disponíveis à medida que o projeto cresce.

Importa referir que tanto o World ID quanto a World App funcionam com custódia pessoal e nenhuma informação como nome, e-mail, telefone ou outra é exigida para transferir e utilizar a World App ou para verificar e utilizar o World ID.

Quando uma pessoa utiliza o seu World ID, uma prova de conhecimento zero (ZKP) é utilizada para impedir que terceiros conheçam a chave pública do World ID da pessoa ou rastreiem essa pessoa entre aplicações. As ZKP também protegem a utilização do World ID de ser associada ao código da íris da pessoa ou a quaisquer dados utilizados na sua criação. O World ID utiliza o Semaphore para, entre outras coisas, confirmar que o World ID não pode ser rastreado até à identidade de uma pessoa nem às verificações noutras aplicações.

A World App da TFH é uma carteira de custódia pessoal, o que significa que as chaves privadas não são conhecidas por ninguém, incluindo a TFH e a World Foundation. As cópias de segurança também são de custódia pessoal e o utilizador pode optar por fazer uma cópia de segurança encriptada da sua carteira (por exemplo, para permitir a migração de uma carteira para um novo dispositivo) utilizando cópias de segurança do iCloud (em dispositivos IOS) ou cópias de segurança do Google Drive (em dispositivos Android e IOS).

Em dispositivos Android e iPhone, a World App armazena dados de forma segura na sandbox da aplicação nativa, com uma camada adicional de proteção para as chaves privadas do utilizador. Estas chaves são armazenadas no keychain do utilizador no iOS e em preferências encriptadas no Android. A World App também utiliza verificações de integridade do dispositivo para detetar possíveis malwares ou problemas de segurança, proporcionando a todos a certeza de que a aplicação não está comprometida.

Nas configurações de segurança e privacidade da World App, o utilizador pode reforçar a sua segurança exigindo a autenticação antes de utilizar a aplicação.

A World App está alojada em infraestrutura AWS que tem certificação ISO 27001—a norma mais reconhecida globalmente para sistemas de gestão da segurança das informações. Além de ser de custódia pessoal no que diz respeito às chaves privadas da carteira e do World ID, todos os dados do utilizador são encriptados e desvinculados de quaisquer dados utilizados para verificar o seu World ID, incluindo o código da íris.

Sabe mais sobre a segurança dos dados da World visitando a página de privacidade no site da World. Também podes manter-te informado participando das conversas diárias no Twitter/X, Telegram, Discord, YouTube e LinkedIn ou inscrevendo-te na newsletter do blog no final desta página.

Informações importantes adicionais sobre o projeto estão disponíveis no documento técnico Worldcoin do protocolo World.