Entendendo as práticas de segurança de dados da World

A segurança dos dados é um pré-requisito para qualquer projeto relacionado a finanças ou identidade. É por isso que ela é uma parte essencial da World.

O compromisso da World com a privacidade pessoal e a segurança dos dados começa pelo fato de que os dados pessoais devem ser controlados pelos próprios indivíduos, em vez de por qualquer entidade única.

Proteções robustas de dados também foram integradas em todos os aspectos do projeto, desde a verificação e login com o World ID até o uso do World App, a primeira carteira construída para a World pela empresa contribuinte Tools For Humanity (TFH).

A Orb, que verifica o World ID, é um dispositivo de última geração feito sob medida pela TFH para o projeto World que verifica a humanidade e a unicidade de uma pessoa usando um código de íris.

Importante: Todas as imagens usadas para criar o código de íris são automaticamente deletadas por padrão.

Foram incorporados ao hardware da Orb diversos recursos de segurança projetados para garantir que nenhum dado possa ser acessado por pessoas não autorizadas. Esses recursos incluem duas chaves criptográficas únicas gravadas permanentemente no hardware da Orb: uma provisionada na CPU principal antes da fabricação e outra localizada em um elemento seguro que não pode ser exportado. A Orb não funcionará a menos que ambas as chaves sejam válidas e seus ambientes estejam íntegros, e nenhum código pode ser executado nela sem uma assinatura criptográfica.

Proteções adicionais de segurança de dados no hardware da Orb e no backend incluem:

• Criptografia de dados assimétrica na Orb
• Processamento de dados apenas em RAM
• Criptografia de unidade de estado sólido (SSD) "em repouso"
• Criptografia de dados em trânsito da Orb para servidores seguros
• Uso de servidores AWS e MongoDB seguros, baseados na UE, para armazenamento de dados dos códigos de íris
• Auditorias de segurança regulares feitas por auditores externos

Esta lista não é exaustiva. Em vez disso, sua intenção é demonstrar a seriedade com que a segurança dos dados é tratada na Orb. Os recursos de segurança são continuamente avaliados e aprimorados pela TFH para garantir a integridade do projeto World.

Você pode ler mais na seção de Implementação Técnica do Whitepaper da World.

World ID é um passaporte digital de humanidade projetado para permitir que você prove de forma privada que você é único e humano na internet. Ele pode ser armazenado no World App, e aplicativos adicionais compatíveis com World ID se tornarão disponíveis conforme o projeto evoluir.

Importante: Tanto o World ID quanto o World App funcionam totalmente em autocustódia, e nenhuma informação como nome, e-mail, telefone etc. é exigida para baixar e usar o World App ou para verificar e usar o World ID.

Quando uma pessoa usa seu World ID, uma prova de conhecimento zero (ZKP) é utilizada para impedir que terceiros saibam a chave pública do World ID da pessoa ou a rastreiem entre aplicativos. As ZKPs também protegem o uso do World ID de ser vinculado ao código de íris da pessoa ou a quaisquer dados usados em sua criação. O World ID utiliza o Semaphore para, entre outras finalidades, confirmar que o World ID não seja rastreado até a identidade de uma pessoa nem a verificações em outros aplicativos.

O World App da TFH é uma carteira de autocustódia, o que significa que as chaves privadas não são conhecidas por ninguém, nem mesmo pela TFH ou pela World Foundation. Os backups também são de autocustódia, e os usuários podem optar por fazer um backup criptografado da sua carteira (por exemplo, para permitir a migração para um novo dispositivo) utilizando Backups do iCloud (em dispositivos iOS) ou backups do Google Drive (em dispositivos Android e iOS).

Em dispositivos Android e iPhone, o World App armazena os dados com segurança dentro do ambiente protegido (sandbox) do aplicativo nativo, com uma camada adicional de proteção para as chaves privadas do usuário. Essas chaves são armazenadas no chaveiro do usuário no iOS e nas preferências criptografadas no Android. O World App também usa verificações de integridade do dispositivo para detectar possíveis malwares ou problemas de segurança e garantir que o aplicativo não foi comprometido.

Nas configurações de segurança e privacidade do World App, os usuários podem aumentar a segurança exigindo autenticação antes de utilizar o aplicativo.

O World App é hospedado em uma infraestrutura AWS com certificação ISO 27001 — o padrão mais conhecido do mundo para sistemas de gestão de segurança da informação. Além de serem de autocustódia em relação às chaves privadas da carteira e ao World ID, todos os dados do usuário são criptografados e desvinculados de quaisquer dados usados para verificar o seu World ID, inclusive o código de íris.

Saiba mais sobre segurança de dados na World visitando a página de privacidade no site da World. Você também pode se manter informado participando das conversas diárias no Twitter/X, Telegram, Discord, YouTube e LinkedIn ou inscrevendo-se na newsletter do blog no final desta página.

Informações importantes adicionais sobre o projeto estão disponíveis no Whitepaper do protocolo World.