<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:576598243;
        mso-list-template-ids:2075949784;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:1.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:1.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:2.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:3.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.0in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:4.5in;
        mso-level-number-position:left;
        text-indent:-.25in;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Dear Alex and All,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">For sure accreditation is more than identification. Accreditation is also about making sure that the requestors use the system in an ethical way and that they
 apply all necessary safeguards to protect the system and the data of the data subjects. Also authorization credentials make sense, in all cases you will need in addition to the unique identifier of the requestor other attributes that correspond to the purpose
 of the request and thus the ability to track every single request and disclosure. Accordingly you will always be able to say which data was processed for which purpose and by whom.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Best<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hadia     <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Gnso-epdp-team [mailto:gnso-epdp-team-bounces@icann.org]
<b>On Behalf Of </b>Alex Deacon<br>
<b>Sent:</b> Wednesday, October 23, 2019 1:30 AM<br>
<b>To:</b> EPDP<br>
<b>Subject:</b> [Gnso-epdp-team] IPC Comments on the Accreditation Building Block.<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">EPDP Colleagues, <o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Attached are IPC's comments and suggestions on the Accreditation building block language published on the wiki at <a href="https://docs.google.com/document/d/134Vryb2H5fYzC1B_451pfzCA1VHVtreF/edit">https://docs.google.com/document/d/134Vryb2H5fYzC1B_451pfzCA1VHVtreF/edit</a>
 . <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Let me explain the main updates.   <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><b><u>A single Accreditation Authority vs. Multiple</u></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">In my original Accreditation Framework and diagram  presented in LA I defined a framework that assumed  the existence of multiple Accreditation Authorities.   Since then we have decided that ideally we want a single Accreditation Authority
 (run by ICANN) that can leverage one or more external/3rd party Identity Providers.   This document (based on the doc submitted by Staff this afternoon) makes this assumption and accommodates for it.  (I hope)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><b><u>Identifier Credential and Authorization Credential</u></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I added back the distinction (and definition) of an Identifier Credential and an Authorization Credential.    <o:p></o:p></p>
</div>
<div>
<ul type="disc">
<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">
An Identifier Credential is "static".    It identifies an individual user in the system and is valid until it either expires or is revoked.  For example my SSAD Identifier Credential would identity me to the system and convey my Name (Alex Deacon) and perhaps
 even my email address (alex@colevalley.consulting) and affiliation (Cole Valley Consulting). <o:p></o:p></li><li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo1">
An Authorization Credential conveys one or more access authorizations (also known as assertions or claims) that are associated with (and bound to) the Identity Credential.   Authorization Credentials are more dynamic in nature an convey information that may
 change per request.   (things like the purpose of the request, legal basis being asserted, compliance with laws/ToS/etc., etc.   (See "Benefits of Accreditation f) for a list.   )<o:p></o:p></li></ul>
<div>
<p class="MsoNormal">The ability to associate a dynamic set of Authorization Credentials (assertions) on a per request basis simplifies the system and removes the need to issue and manage an identity credential for each purpose/basis/etc. combination.   (users
 don't want to have to manage 12 or more different credentials to use the system) .   Note that this is a "best practice" when building/designing authentication and authorization systems.   Also note that the technology suggested by the TSG, OpenID Connect,
 supports the separation of Identity Credentials from Authorization Credentials.    <o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><b><u>Revocation vs. De-Accreditation</u></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">We were overloading the term De-Accreditation to apply to both Identity Credentials (associated with requestors) and the Accreditation Authority itself.   I found this confusing so I defined the term "Revocation" to apply to Identity Credentials
 and De-Accreditation to apply to the Accreditation Authority itself.    Revocation of an Identity Credential only impacts a single user of the system.  (e.g. we revoked Alex's Identity Credential because he no longer works at Cole Valley Consulting - or got
 hit by a bus!)   De-Accreditation of the Accreditation Authority impacts every credential managed by the Accreditation Authority (i.e. its the Nuclear Option when there is a major/catastrophic audit failure- everything fails and all credentials managed become
 null and void.  )<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><b><u>Accreditation is more than just Identification</u></b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I've heard several folks state that Accreditation is only about Identification of requestors.    In LA we made it clear that an Accreditation framework that only accomplished Identification was a waste of time.    See my suggested update
 to the Benefits of Accreditation section which in addition to Identity lists: 1) management of Authorization Credentials, 2) How Identity Credentials and Authorization Credentials facilitate the decision to accept or reject the SSAD request, and 3) definition
 of a baseline code of conduct (based on EDPB guidance) <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Please review and let me know if you have any suggestions.   There is no doubt improvements that can be made - but hopefully this moves the ball a few steps in the right direction.   Happy to walk thru this on the call on thursday morning. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Alex<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">___________<o:p></o:p></p>
<div>
<p class="MsoNormal"><b>Alex Deacon</b><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Cole Valley Consulting<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:alex@colevalleyconsulting.com" target="_blank">alex@colevalleyconsulting.com</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">+1.415.488.6009<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>