<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body>

Registrants have the right to request their data from any controller or processor, so they are a "natural" potential user of the SSAD. Access from their own registrar (or reseller?) is presumably already covered through their contractual arrangements. So that

 primarily leaves the registry or their sub-contractors (to the extent that the registry possesses any such non-public data). If registries are happy to treat such requests as edge cases and handle them on an ad hoc basis, then I think we can safely leave them

 off as potential users of the SSAD. And save ourselves a lot of work in the process!  :-)<br>

<br>

Alan<br>

<br>

At 07/06/2019 10:33 AM, Greg Aaron wrote:<br>

<br>

<blockquote type="cite" class="cite" cite="">Agree.  Registrants already have the appropriate means to view their own sensitive data fields and update their domain data: the registrarтАЩs system.  And that provides controlled, permissioned access for the registrants

 to see their data and theirs only.  And registrants will have public access to RDS to see non-sensitive data about their domains.<br>

 <br>

To offer registrants access to the SSAD System on top of that would be a nightmare from an access management view.  (How would registrants get credentials into a SSAD, and how would that system know what records the registrant is allowed to see?)   SSAD is

 for third parties who need to access non-public data.<br>

 <br>

All best,<br>

--Greg<br>

 <br>

 <br>

<b>From:</b> Gnso-epdp-team <gnso-epdp-team-bounces@icann.org> <b>On Behalf Of </b>

Sarah Wyld<br>

<b>Sent:</b> Thursday, June 6, 2019 9:36 AM<br>

<b>To:</b> gnso-epdp-team@icann.org<br>

<b>Subject:</b> [Gnso-epdp-team] RrSG initial comment on SSAD Registrant user group<br>

 <br>

<br>

Hello all,<br>

<br>

The RrSG has significant concerns with the inclusion of Registrants as a user group for the System for Standardized Disclosure of non-public gTLD registration data, and strongly recommends that this group be removed from the proposed list of users. We are curious

 as to the origin of these proposed user groups, and suggest that instead of working through this list we begin by reviewing the purposes for processing data (Recommendation 1) and assessing the potential user group applicable to each purpose.

<br>

<br>

Registrants already access their domains via their service provider (registrar or reseller)тАЩs system, as required under the RAA. Having multiple interfaces to access the same information poses a significant risk of inappropriate data exposure; this unnecessary

 and unbalanced security risk is not compliant with data protection law. It also creates a confusing user experience for the registrant. For example, if a registrant uses the SSAD to review their domain data for the purpose of confirming that it is accurate,

 they would still need to work with their service provider to confirm that the data held in that system is also up to date. 

<br>

<br>

The RrSG notes that a system used to access or disclose data is not also a system to modify that data. The EPDP team definitions of access and disclosure do not include any capability to modify the data, so this is a new addition to the requirements not grounded

 in any previously agreed-upon basis or definition. Modification of domains via the SSAD could easily result in synchronization issues and security risks, where the SSAD holds data that is different from what is in the registrar or resellerтАЩs platform, or

 an unauthorized party could modify and even hijack a registered domain. This also represents a fundamental shift from the system in place for the past twenty years: EPP is one-directional, with data flowing from the reseller or registrar through to the registry,

 so any functionality for updating domain data would need to be created and implemented by thousands of service providers worldwide.

<br>

<br>

We look forward to discussing this important concern at todayтАЩs EPDP team call. Beyond these concerns about the тАЬRegistrantsтА group, we are also uncertain that тАЬend usersтА is a valid group; this and the other groups should be discussed with the plenary

 team.  <br>

<br>

<pre>-- </pre>

<br>

<br>

<pre>Sarah Wyld</pre>

<br>

<br>

<pre>Domains Product Team</pre>

<br>

<br>

<pre>Tucows</pre>

<br>

<br>

<pre>+1.416 535 0123 Ext. 1392</pre>

<br>

<br>

<pre> </pre>

<br>

<br>

<pre> </pre>

<br>

_______________________________________________Gnso-epdp-team mailing list<br>

Gnso-epdp-team@icann.org<br>

<a href="https://mm.icann.org/mailman/listinfo/gnso-epdp-team" eudora="autourl">https://mm.icann.org/mailman/listinfo/gnso-epdp-team</a><br>

_______________________________________________<br>

By submitting your personal data, you consent to the processing of your personal data for purposes of subscribing to this mailing list accordance with the ICANN Privacy Policy (<a href="https://www.icann.org/privacy/policy" eudora="autourl"> https://www.icann.org/privacy/policy</a>)

 and the website Terms of Service (<a href="https://www.icann.org/privacy/tos" eudora="autourl"> https://www.icann.org/privacy/tos</a>). You can visit the Mailman link above to change your membership status or configuration, including unsubscribing, setting

 digest-style delivery or disabling delivery altogether (e.g., for a vacation), and so on.</blockquote>

</body>

</html>