Tajemnica handlowa a przejrzystość: jak chronić swoje wrażliwe dane w erze DPP?

Jeśli pójdziesz do dyrektora generalnego odnoszącej sukcesy firmy produkcyjnej i powiesz mu: „Od przyszłego roku będziesz musiał publikować dokładny asortyment produktów i listę dostawców, aby każdy mógł to przeskanować telefonem”, najbardziej prawdopodobną reakcją byłaby panika. I to jest całkowicie zrozumiałe.

Przez wieki firmy budowały swój sukces na utrzymywaniu tajemnic. Przepis na Coca-Colę, specyficzny stop szwajcarskiego zegarka, unikalny dostawca ultralekkich tkanin na sprzęt sportowy, to aktywa warte miliardy.

Dziś jednak Unia Europejska narzuca nowy paradygmat: DPP. Jej głównym celem jest radykalna przejrzystość. I tu następuje nieuniknione starcie. Jak możemy zachować przejrzystość dla konsumentów i organów regulacyjnych, nie zdradzając jednocześnie naszej własności intelektualnej i tajemnic handlowych konkurencji?

W tym artykule przyjrzymy się, jak firmy mogą poruszać się po tym polu minowym, zmieniając program DPP z zagrożenia w bezpieczne i łatwe w zarządzaniu narzędzie.

Paradoks przejrzystości: czego tak naprawdę boją się firmy?

Aby znaleźć rozwiązanie, musimy najpierw zdefiniować problem. Obawy firm w realizacjiDPPsą ogólnie podzielone na trzy główne obszary:

• Kradzież własności intelektualnej:Strach, że szczegółowe dane materiałowe ujawnią „tajny składnik” produktu. Jeśli konkurent na drugim końcu świata może odczytać dokładne proporcje chemiczne Twojej innowacyjnej farby za pomocą swojego cyfrowego paszportu, może z łatwością go skopiować.
• Kłusownictwo w łańcuchu dostaw:Znalezienie niezawodnych, wysokiej jakości i tanich dostawców zajmuje lata. Jeśli DPP wymaga pełnej identyfikowalności, Twoi konkurenci mogą po prostu sprawdzić, w której fabryce w Wietnamie kupujesz komponenty i skontaktować się z nimi bezpośrednio.
• Utrata siły przetargowej:Jeśli Twoi dostawcy lub klienci mają pełny dostęp do danych o kosztach produkcji i marży (które można wywnioskować ze szczegółowych danych dotyczących łańcucha dostaw), tracisz siłę negocjacyjną.

Czego tak naprawdę wymaga prawo, a czego NIE wymaga?

Pierwszym krokiem do rozwiania tych obaw jest dokładne zrozumienie, co mówi rozporządzenie w sprawie ekoprojektu dla produktów zrównoważonych (ESPR), które wprowadza DPP w Europie. Dobra wiadomość jest taka, że ​​Komisja Europejska nie chce niszczyć konkurencyjności przedsiębiorstw. Ustawa wyraźnie przewiduje ochronę własności intelektualnej i tajemnic handlowych.

Program DPP nie wymaga publikowania:

• Dokładne receptury lub autorskie receptury
• Kontrakty handlowe i ceny towarów
• Szczegóły procesów produkcyjnych i know-how

Program DPP wymaga opublikowania:

• Dane dotyczące zrównoważonego rozwoju (ślad węglowy, zużycie wody)
• Informacje na temat obecności niebezpiecznych substancji chemicznych (substancje budzące obawy)
• Instrukcje dotyczące prawidłowego recyklingu, naprawy i konserwacji
• Pochodzenie surowców krytycznych (w celu zapewnienia, że ​​nie są one pozyskiwane w drodze nielegalnej pracy)

Rozróżnienie tych dwóch kategorii jest podstawą, na której zbudujesz swoją strategię ochrony danych.

Strategie obronne: Jak zachować przejrzystość i bezpieczeństwo?

Technologie, które tworząDPPmożliwe, to te same technologie, które mogą chronić Twoje dane. Oto cztery podstawowe mechanizmy, które powinna wdrożyć każda firma.

Dostęp do danych oparty na rolach

Jest to najważniejsza koncepcja w architekturze DPP. Paszport cyfrowy nie jest pojedynczym plikiem PDF, który każdy może przeczytać od deski do deski. Jest to dynamiczna baza danych, która wyświetla różne informacje w zależności od tego, kto skanuje kod.

• Użytkownik końcowy:Skanuje produkt w sklepie i widzi informacje marketingowe - ślad węglowy, procent materiałów pochodzących z recyklingu, instrukcje prania lub pielęgnacji oraz certyfikaty etycznego pochodzenia.
• Autoryzowane centrum serwisowe/naprawcze:Skanuje ten sam kod, ale za pomocą specjalnego klucza oprogramowania uzyskuje dostęp do schematów technicznych demontażu, listy części zamiennych i historii serwisowania.
• Zakład recyklingu:Ma jedynie dostęp do dokładnego składu chemicznego materiałów (np. jakiego rodzaju plastiku użyto), więc wie, do którego pojemnika je skierować, ale nie wie, kto wyprodukował plastik.
• Organy regulacyjne i celne:Mają najwyższy poziom dostępu w celu sprawdzenia zgodności z prawem, ale prawo wymaga od nich zachowania tajemnicy handlowej.

Segregując dane według roli, dajesz każdemu dokładnie to, czego potrzebuje i ani trochę więcej.

Dowody wiedzy zerowej

To koncepcja kryptograficzna, która brzmi jak science fiction, ale jest już aktywnie wykorzystywana w technologii blockchain. Co to jest? Jest to metoda, za pomocą której jedna strona może udowodnić drugiej stronie, że oświadczenie jest prawdziwe, nie ujawniając przy tym żadnych informacji poza faktem, że jest ono prawdziwe.

Przykład z życia wzięty:Wyobraź sobie, że chcesz wejść do klubu. Ochrona musi wiedzieć, że masz ukończone 18 lat. Zamiast dawać mu swój dowód osobisty, pokazujesz mu token kryptograficzny w telefonie, który świeci na zielono. Na żetonie widnieje jedynie informacja: „Ta osoba ma ukończone 18 lat”.

Przykład w DPP:Musisz udowodnić, że bawełna w Twojej koszulce nie została zebrana w wyniku pracy dzieci. Zamiast podawać w paszporcie dokładną nazwę i lokalizację swojego gospodarstwa w Indiach (co jest tajemnicą handlową), korzystasz z „Dowódu wiedzy zerowej” wydanego przez jednostkę certyfikującą. Konsument widzi zieloną pieczątkę „Etyczne pochodzenie – sprawdzone”, ale Twoja konkurencja nie jest w stanie rozpoznać, które to gospodarstwo.

Agregowanie danych i korzystanie z zakresów

Gdy prawo wymaga przejrzystości co do składu, często nie trzeba podawać danych z dokładnością do drugiego miejsca po przecinku. Zamiast ujawniać dokładny przepis, użyj zakresów.

Zamiast pisać w paszporcie: „Produkt zawiera 62,5% poliestru pochodzącego z recyklingu, 30% bawełny organicznej i 7,5% elastanu marki X”, możesz przesłać dane zagregowane, zgodne z rozporządzeniem, ale zachowujące tajemnicę: „Zawiera 60-70% polimeru pochodzącego z recyklingu i włókien organicznych”. (Oczywiście zależy to od konkretnych wymagań dla danej klasy produktu, które są wciąż finalizowane przez UE).

Zdecentralizowane przechowywanie

Firmy nie mają obowiązku przesyłania wszystkich swoich wrażliwych danych do centralnej europejskiej bazy danych, gdzie hakerzy mogliby włamać się do systemu. Europejski model DPP jest zdecentralizowany. Oznacza to, że Twoje wrażliwe dane pozostają na Twoich własnych, bezpiecznych serwerach.

W rejestrze publicznym UE publikowany jest jedynie „hash” (cyfrowy odcisk palca) paszportu i link do Twojego serwera. Gdy ktoś zażąda danych, system sprawdza, czy ma on niezbędne uprawnienia, zanim serwer wyśle ​​mu informacje. Jeśli dane ulegną kiedykolwiek zmianie, skrót nie będzie zgodny, co zapewni, że nikt nie sfałszował paszportu.

Nowe podejście do tajemnic handlowych w XXI wieku

Chociaż rozwiązania techniczne są niezwykle ważne, prawdziwa zmiana musi nastąpić w sposobie myślenia kierownictwa.

Przez dziesięciolecia instynkt biznesowy brzmiał: „Ukryj wszystko, co możesz”. Dziś jednak żyjemy w epoce nadmiaru informacji. Prawda jest taka, że ​​jeśli konkurent jest wystarczająco zmotywowany i ma dobre laboratorium inżynierii odwrotnej, najprawdopodobniej już wie, z czego wykonany jest Twój produkt. Podobnie łańcuchy dostaw rzadko pozostają całkowicie tajne w zglobalizowanym świecie.

Nowa przewaga konkurencyjna nie polega na ukrywaniu dostawców, ale na budowaniu najbardziej zrównoważonego, etycznego i wydajnego łańcucha. Firmy, które zdominują erę DPP, to te, które użyją przejrzystości jako broni. Kiedy możesz kryptograficznie udowodnić klientowi, że Twój produkt jest lepszy dla planety niż produkt konkurencji, zyskujesz zaufanie, którego nie kupi żadna tajemnica handlowa.

Kroki wykonalne: co firmy powinny dziś zrobić?

Jeśli stoisz na czele firmy, która ma zamiar wdrożyć DPP, nie czekaj, aż dział IT sam rozwiąże problem bezpieczeństwa. To strategiczne pytanie biznesowe.

Audytuj i klasyfikuj dane

Zbierz zespół specjalistów ds. badań i rozwoju, produkcji, marketingu i prawa. Podziel wszystkie dane produktów na trzy kolumny:

• Publiczny:Mogą je zobaczyć wszyscy
• Ograniczony:Dla firm zajmujących się recyklingiem i warsztatami naprawczymi
• Ściśle tajny:Tylko dla regulatorów i do użytku wewnętrznego

Wybierz odpowiedniego partnera technologicznego

Wybierając platformę programową do tworzenia paszportów cyfrowych, pierwszym pytaniem nie powinno być „Ile to kosztuje?”, ale „Jak zarządzasz prawami dostępu i czy wspierasz technologię Zero-Knowledge Proofs?”.

Przejrzyj swoje umowy z dostawcami

Twoi dostawcy będą musieli przekazać Ci szczegółowe informacje, które należy uwzględnić w programie DPP. Będą się także bać o swoje tajemnice. Twórz nowe umowy, które zapewnią, że wrażliwe dane zostaną zagregowane lub zaszyfrowane, zanim dotrą do ostatecznego paszportu.

Wniosek

Cyfrowy paszport produktu podważa jeden z najstarszych dogmatów w biznesie, że tajemnica równa się zysk. Tak, ochrona własności intelektualnej pozostaje fundamentalna, ale metody jej ochrony ewoluują.

Dzięki odpowiedniej architekturze danych opartej na dostępie opartym na rolach, decentralizacji i zaawansowanych metodach kryptograficznych – firmy mogą osiągnąć to, co wcześniej niemożliwe: otworzyć swoje drzwi na zaufanie konsumentów, jednocześnie utrzymując konkurencję na dystans. Przejrzystość i bezpieczeństwo nie są już wrogami; to dwie strony tej samej cyfrowej monety.