[ page d'honnêteté ]
Ce qu'EEI ne fait pas.
Toute primitive crédible a un périmètre. Voici le nôtre.
Pas de graphe de réputation inter-opérateurs.
EEI ne mutualise ni la réputation des appareils ni celle des utilisateurs entre opérateurs. Les preuves de chaque opérateur restent souveraines à son déploiement. Les services de réputation inter-opérateurs existent (classe BioCatch, ThreatMetrix) — ce n'est pas ce qu'est EEI.
Pas d'enforcement sur l'appareil.
EEI signe ce qui s'est passé. Il ne bloque, ne gèle, ni ne refuse rien sur l'appareil. L'enforcement appartient au moteur de politique de l'opérateur lisant les preuves EEI — au vérifieur, en back-end, dans le flux d'authentification. Le substrat témoigne ; l'opérateur décide.
Pas de surfaces web.
EEI est un substrat côté appareil pour mobile, POS, SoftPOS et SST. Les sessions web, les paiements par navigateur et les flux purement serveur-à-serveur sont hors périmètre. Lorsqu'un parcours touche à la fois web et mobile, EEI couvre uniquement la branche mobile.
PCI / SOC 2 / ISO 27001 / certifications schémas hors périmètre par construction.
EEI est un substrat que les opérateurs intègrent dans leurs propres environnements certifiés ; les certifications s'attachent aux opérateurs, pas au substrat.
Chacune des quatre frontières est structurelle, pas un élément de roadmap. La réputation reste souveraine. L'enforcement reste chez l'opérateur. Les surfaces restent côté appareil. Les certifications restent dans les environnements qui intègrent le substrat. La forme est l'engagement.
Poser une question sur le périmètre