После пяти месяцев отсутствия на этой блог площадке по личным причинам мы возвращаемся с заметкой, которая была написана еще в конце февраля, но оказалось, что все еще не устарела.
Девять лет мы в IDX работали за кадром. Буквально. Наши сервисы верификации персональных данных существовали в пространстве между двумя защищёнными периметрами — клиентским бизнесом, которому нужно убедиться в подлинности данных своего пользователя, и государственными реестрами, которые эти данные хранят. Мы обеспечивали своего рода «гальваническую развязку»: два контура работают, обмениваются сигналом, но никогда не соприкасаются напрямую.
Это была надёжная, понятная и хорошо зарекомендовавшая себя архитектура. Была — до недавнего времени.
Сегодня на рынке произошло сразу несколько событий, которые в совокупности меняют саму логику того, как устроена верификация. И этот текст — попытка осмыслить, к чему именно мы движемся и что это означает для нас как для индустрии.
Периметр умер. Давно, просто не все заметили
Традиционная архитектура информационной безопасности строилась на простой идее: есть доверенная зона внутри периметра и ненадёжный мир снаружи. Попал внутрь — считаешься своим. Именно на этой логике строилась и большая часть корпоративных систем, и первые поколения сервисов верификации: достаточно один раз проверить пользователя «на входе», и дальше ему доверяют автоматически.
Эта модель разрушалась постепенно. Утечки данных, облачные инфраструктуры, удалённая работа — всё это размыло понятие «периметра» задолго до того, как появился термин Zero Trust. Но именно в 2020–2025 годах концепция нулевого доверия оформилась в конкретные стандарты и начала реально влиять на то, как строятся системы.
Ключевой принцип Zero Trust Architecture (ZTA) звучит обманчиво просто: «Никогда не доверяй, всегда проверяй». Ни один пользователь, ни одно устройство не получают автоматического доступа — независимо от того, находятся ли они внутри корпоративной сети или снаружи. Каждый запрос верифицируется заново. Каждый раз.
В 2025 году в открытый доступ попало более 767 млн записей с персональными данными россиян, сообщает РБК со ссылкой на годовой отчет подразделения киберразведки (Threat Intelligence) компании F6. Это иллюстрация системной проблемы: периметр не работает, и доверие, основанное на факте нахождения «внутри», давно не является достаточной гарантией. В 2024–2025 годах стандарты ZTA были обновлены с усиленным акцентом на непрерывную проверку контекста и постоянный мониторинг — система теперь анализирует поведение пользователя в режиме реального времени, и любые отклонения от нормы служат сигналом для дополнительной верификации.
Для нас как для сервис-провайдера в области верификации ПД это означает следующее: мир, в котором верификация происходит один раз «на входе», уходит в прошлое. Архитектура доверия встраивается непосредственно в операционный процесс. И здесь появляется второй важный игрок этой истории.
Доказать, не раскрывая. Магия, ставшая инженерией
Представьте: вам нужно подтвердить, что вам больше 18 лет — но при этом вы не хотите называть дату рождения, паспортные данные или вообще предъявлять какой-либо документ. Звучит как парадокс. Но именно эту задачу решает технология Zero-Knowledge Proof (ZKP) — доказательство с нулевым разглашением.
Концепция существует в математике с 1980-х годов, но только сейчас, благодаря росту вычислительных мощностей и развитию блокчейн-экосистемы, она превратилась в практически применимый инструмент. Суть в следующем: одна сторона (проверяемый) может математически доказать другой стороне (верификатору), что некоторое утверждение является истинным — не раскрывая при этом никаких дополнительных сведений, кроме самого факта истинности.
Применительно к верификации персональных данных это означает революцию в архитектуре процесса. Вместо того чтобы передавать сырые данные — паспортные реквизиты, ИНН, СНИЛС, кредитный рейтинг — верифицируемый субъект предъявляет криптографическое доказательство: «я являюсь гражданином страны X», «моя кредитная история соответствует требованиям», «я не нахожусь в санкционных списках». Верификатор получает подтверждение — и ничего более.
В 2025 году это перестало быть теорией. Google внедрил ZKP в Google Wallet для верификации возраста, не требуя раскрытия биографических данных. Рынок ZKP-верификации личности (Zero-Knowledge KYC) оценивается в $83,6 млн в 2025 году и, по прогнозам аналитиков Stratistics MRC, достигнет $903,5 млн к 2032 году — среднегодовой темп роста составляет 40,5%.
Что это меняет для игроков рынка верификации ПД? Принципиально — саму природу услуги. Традиционная верификация — это обмен данными: клиент передаёт данные провайдеру, провайдер сверяет их с источником, источник подтверждает или опровергает. ZKP-верификация — это обмен доказательствами: источник однажды «подписывает» атрибут субъекта, субъект хранит доказательство у себя и предъявляет его по требованию. Провайдер при этом проверяет математическую корректность доказательства — не сами данные. Источник в момент проверки вообще не задействуется.
Архитектурная «гальваническая развязка», которую мы обеспечивали как посредники, в этой модели встроена в саму криптографию.
Stablecoins пришли, чтобы остаться
Параллельно с трансформацией архитектуры безопасности банки переживают другую масштабную перестройку — замену монолитных операционных систем на технологии, пришедшие из финтеха. И среди них особого внимания заслуживают stablecoins — или, в отечественной терминологии, цифровые валюты центральных банков (ЦВЦБ), еще проще – цифровой рубль.
С начала 2025 года вышла целая серия аналитических материалов, фиксирующих, что эта технология перешла из категории «экспериментов» в категорию «инфраструктуры». По данным Банка международных расчётов, 81 из 86 центральных банков изучают возможности выпуска stablecoins — это юрисдикции, на которые приходится 94% мирового ВВП. CEO банка Standard Chartered Билл Уинтерс сформулировал тенденцию предельно ясно: практически все транзакции со временем будут проводиться через блокчейны, а все деньги станут цифровыми.
В России с 1 августа 2024 года цифровой рубль вошёл в стадию пилотного тестирования. Согласно оценкам «Яков и Партнёры», ожидаемый суммарный экономический эффект только от внедрения в B2B-секторе составит 328 млрд рублей ежегодно. С 2024 года банки обязаны интегрироваться с рядом сервисов, включая цифровой рубль и электронные доверенные профили — это меняет саму логику расчётов: от подписей на бумаге к транзакциям в машиночитаемой форме.
Почему это важно для темы верификации? Потому что у цифрового рубля и других stablecoins, в отличие от традиционных денег, есть принципиальная особенность: каждая транзакция несёт в себе встроенную верифицируемость. Распределённый реестр блокчейна гарантирует неизменяемость записей и прослеживаемость операций. Транзакция не просто происходит — она криптографически удостоверяется и навсегда фиксируется в реестре.
Это фундаментально иное качество по сравнению с традиционным банковским переводом, где запись о транзакции существует в централизованной базе данных и теоретически может быть изменена. Блокчейн-транзакция — это одновременно и операция, и её неопровержимое свидетельство.
Верификация как атрибут транзакции
Теперь сложим все части вместе — и увидим то, что, на наш взгляд, является ключевым тезисом новой реальности рынка:
Верификация персональных данных перестаёт быть отдельной, разовой процедурой «на входе» в систему. Она становится непрерывным атрибутом каждой транзакции.
Посмотрим, как это проявляется на практике.
В архитектуре ZTA — каждый запрос на доступ верифицируется независимо от предыдущих. Нет «однажды проверенных» пользователей. Есть пользователи, верифицированные в данный момент для данного действия.
В экосистеме цифрового рубля — каждая транзакция криптографически подписана и прослеживаема. Встроенная неизменяемость реестра означает, что история операций является одновременно историей верификаций.
С ZKP — пользователь подтверждает свои атрибуты непосредственно в момент транзакции, не передавая сырые данные никому из участников операции. Верификация происходит «на лету» — и является условием, а не предшественником транзакции.
Иными словами: транзакция — это и есть верификация. Они больше не разделены во времени и в архитектуре.
Что это означает для сервис-провайдеров в области верификации ПД
Для нас в IDX, как и для других участников этого рынка, новая реальность означает необходимость переосмысления роли, которую мы играем в экосистеме.
Традиционная модель: провайдер верификации — это посредник. Он принимает запрос от бизнеса, отправляет его в источник данных, получает подтверждение и передаёт результат клиенту. Ценность — в наличии доступа к источникам и в обеспечении «развязки» между контурами.
Новая модель: механизм доверия встраивается в операционный поток. Верификация происходит не перед транзакцией, а внутри неё. Криптографические доказательства заменяют передачу данных. Блокчейн обеспечивает неизменяемость и прослеживаемость без участия посредника-хранителя.
Это не означает, что роль провайдера верификации исчезает — напротив, она усложняется и становится более значимой. Но она трансформируется: из оператора «шлюза» между двумя периметрами — в архитектора встроенных механизмов доверия для операционных процессов банков и финтех-платформ.
Именно в этом направлении нам предстоит двигаться. И именно это движение мы и намерены подробно описывать в следующих публикациях.
IDX — девять лет на рынке верификации персональных данных. Мы помогаем бизнесу убедиться в том, что за цифрой стоит реальный человек с подтверждёнными атрибутами, и работаем над тем, чтобы этот процесс стал нативной частью цифровой транзакции.
ссылка на оригинал статьи https://habr.com/ru/articles/1052142/