WPROWADZENIE
Rynek rozwiązań do weryfikacji tożsamości oferuje szeroki zakres opcji. Rygory procedur KYC (ang. Know Your Customer) oraz AML (ang. Anti-Money Laundering) sprawiają, że ten segment rynku dynamicznie się rozwija, a kategoria najlepszego oprogramowania do weryfikacji tożsamości na dowolnej platformie zawiera ponad 200 produktów. Dodając do tego wszelkiego rodzaju urządzenia, można odnieść wrażenie, że rynek jest nasycony i istnieje wiele rozwiązań do obsługi kontroli dokumentów w dowolnym scenariuszu.
Jak zawsze, diabeł tkwi w szczegółach. W tym przewodniku postaramy się odpowiedzieć na następujące pytania:
- Jak wybrać najlepsze oprogramowanie do weryfikacji tożsamości, aby zapewnić pełny zakres, złożoność i dokładność kontroli dokumentów tożsamości?
- Jak upewnić się, że dane rozwiązanie jest niezawodne i godne zaufania?
- I co dokładnie oznacza wiarygodność, jeśli chodzi o weryfikację tożsamości?
Zagłębmy się w ten temat.
Krok 1: Upewnij się, że przechwytywanie dokumentów jest w pełni zautomatyzowane
Jeśli zapytasz dowolnego eksperta kryminalistycznego, jak wiarygodnie zweryfikować dokumenty tożsamości, prawdopodobnie udzieli ci następującej odpowiedzi: przede wszystkim upewnij się, że masz pod ręką fizyczny dokument. Rzeczywistość jest jednak często daleka od takich ideałów. W obliczu cyfrowej transformacji, proces przechwytywania w dużej mierze determinuje wiarygodność kontroli.
Na etapie przechwytywania, rozwiązanie do weryfikacji tożsamości powinno radzić sobie z dwoma rzeczami:
- rozpoznać przesłany dokument
- i ocenić jego jakość.
Rzecz w tym, że rozwiązania programowe wykorzystują możliwości urządzenia użytkownika i polegają na jego dokładności w robieniu zdjęć. Zły aparat, słabe oświetlenie, odblaski lub przekrzywiony obraz utrudniają odczytanie informacji. Może to prowadzić do błędów lub proszenia użytkowników o ponowne robienie zdjęć w kółko, aż spełnią wymagania jakościowe.
Najlepsze rozwiązania mogą ocenić jakość obrazu i w razie potrzeby go dostroić: dostosować jasność lub kontrast, usunąć odblaski lub przekrzywić zdjęcie, jeśli zostało zrobione pod kątem.
Jeśli chodzi o rozpoznawanie typu dokumentu, jest to głównie kwestia UX. Niestety, wiele rozwiązań do weryfikacji tożsamości nadal dodaje dwa dodatkowe kroki w podróży użytkownika: „wybierz typ dokumentu” i »wybierz kraj«.
Możesz uniknąć zmuszania użytkowników do wykonywania dodatkowych kliknięć i wpisywania, wybierając rozwiązanie, które identyfikuje typ dokumentu i kraj jego pochodzenia. Choć brzmi to prosto, takie możliwości wymagają od dostawcy zainwestowania dużej ilości czasu, pieniędzy i wysiłku w stworzenie kompleksowej bazy danych szablonów dokumentów (omówimy to szczegółowo w kroku 5). Na razie zapamiętajmy, że w idealnym przypadku rozwiązanie do weryfikacji tożsamości powinno wykonywać większość pracy automatycznie.
Pytania, które należy zadać dostawcy:
- Czy rozwiązanie automatycznie identyfikuje typ dokumentu?
- Czy ocenia jakość obrazu dokumentu? Jakie są kryteria?
- Czy może poprawić jakość obrazu, aby zwiększyć czytelność danych?
Krok 2: Testowe sprawdzanie dokumentów
Rozwiązania do weryfikacji tożsamości muszą być zgodne z wytycznymi ICAO i BSI dotyczącymi sprawdzania dokumentów międzynarodowych, wiz itp. Jednak w przypadku krajowych dokumentów tożsamości mogą istnieć własne warianty wykonania zabezpieczeń, które wymagają określonych kontroli.
W idealnej sytuacji rozwiązanie do weryfikacji tożsamości powinno oferować kontrolę każdego aspektu: zarówno standardowych cech międzynarodowych, jak i cech lokalnych. Im gęstsze pokrycie różnymi kontrolami, tym bardziej wiarygodne wnioski dotyczące autentyczności i ważności dokumentu.
Można ocenić, że dostawca zapewnia pierwszorzędną wydajność, gdy jego oprogramowanie do weryfikacji tożsamości wykonuje długą listę różnych kontroli, a także przeprowadza masowe kontrole krzyżowe porównujące dane z różnych elementów, aby upewnić się, że są one zgodne.
Kontrole dokumentów, o które należy poprosić:
- Automatyczna identyfikacja typu dokumentu
- Wizualna weryfikacja strefy kontroli
- Walidacja MRZ
- Odczyt i weryfikacja typu i formatu kodu kreskowego
- Kontrola żywotności dokumentu (w tym kontrola hologramów i wykrywanie zrzutów ekranu)
- Wykrywanie i odczyt chipów RFID
- Kontrole krzyżowe danych pobieranych z różnych elementów.
Pobierz pełną listę wymaganych kontroli dokumentów [PDF, 6 stron, 337Kb].
Krok 3: Upewnij się, że weryfikacja chipów RFID oparta na NFC jest wdrożona
Identyfikacja radiowa – lub po prostu RFID – to niewielkie urządzenie, które zawierają nowoczesne elektroniczne dokumenty tożsamości. Chipy RFID przechowują dane posiadaczy dokumentów. ICAO (Międzynarodowa Organizacja Lotnictwa Cywilnego) ściśle reguluje dokładną listę danych zakodowanych w chipie.
Zwykle odczytanie tych informacji wymaga użycia specjalnych czytników paszportów lub technologii NFC wbudowanej w telefony komórkowe. W przypadku tego drugiego rozwiązania należy zachować szczególną ostrożność. W przypadku procesu zdalnego istnieje ryzyko, że oszuści mogą przechwycić i zmodyfikować wyniki weryfikacji. Dlatego dobry dostawca musi stosować podejście „zero zaufania do urządzeń mobilnych”.
W praktyce dane muszą zostać ponownie zweryfikowane, aby upewnić się, że chip nie został sklonowany lub jego dane nie zostały zmanipulowane.
Oto przykład tego, jak Regula radzi sobie z tą kwestią. Sesje RFID mogą być ponownie weryfikowane po stronie serwera, oprócz kontroli przeprowadzanych na telefonach komórkowych. Dzięki temu dane kontroli są niemożliwe do naruszenia. Wszystko to odbywa się wyłącznie lokalnie: wyniki sesji weryfikacyjnej są przechowywane na serwerze klienta, dzięki czemu można do nich później wrócić. Takie podejście jest uważane za najbardziej niezawodny i bezpieczny sposób weryfikacji dokumentu z chipem NFC.
Pytania, które należy zadać dostawcy:
- Czy Twoje rozwiązanie do weryfikacji tożsamości odczytuje i weryfikuje chip RFID?
- Czy potrafi odczytać informacje zakodowane w chipie?
- Czy stosujecie podejście „zero zaufania do urządzeń mobilnych”? Jeśli tak, jak dokładnie działa to w Twoim rozwiązaniu?
Krok 4: Zbadanie możliwości kontroli biometrycznych
Weryfikacja dokumentu tożsamości to tylko część weryfikacji tożsamości. Kolejną częścią jest upewnienie się, że osoba przedkładająca dokument jest jego prawowitym posiadaczem. Odbywa się to za pomocą kontroli biometrycznych.
Biometria to szeroki termin, który może oznaczać szeroki zakres kontroli: twarz, odciski palców, głos, a nawet rozpoznawanie tęczówki. Większość z nich to przesada w przypadku zwykłego cyfrowego onboardingu biznesowego, ale władze państwowe mogą ich wymagać, na przykład przy ubieganiu się o wizę. Najczęstszym sposobem przeprowadzania kontroli biometrycznej dla firm jest wykorzystanie biometrii twarzy.
Proces jest prosty: użytkownik robi sobie selfie, a następnie technologia dopasowuje to zdjęcie do zdjęć w przesłanym dokumencie tożsamości (np. w strefie kontroli wzrokowej i chipie RFID) i sygnalizuje, jeśli coś jest nie tak.
Zasadniczą cechą właściwego modułu rozpoznawania twarzy jest wykrywanie aktywności. Oznacza to, że musisz nie tylko ustalić, czy na zdjęciach jest ta sama osoba, ale także upewnić się, że selfie jest prawdziwe. Czasami atakujący próbują podszyć się pod edytowane zdjęcie jako prawdziwe selfie. Czasami mogą używać różnych masek, a nawet technologii deepfake. Dobre rozwiązanie do weryfikacji tożsamości powinno być w stanie wykryć takie problemy.
Istnieją dwa rodzaje weryfikacji aktywności: pasywna i aktywna. Pasywna weryfikacja żywotności zakłada użycie statycznego selfie, podczas gdy aktywna weryfikacja żywotności wymaga od użytkownika wykonania serii prostych ruchów: obrócenia głowy, zbliżenia lub oddalenia się itp. Oczywiście aktywna kontrola aktywności jest bardziej zaawansowaną i niezawodną metodą.
Pytania, które należy zadać dostawcy:
- Czy masz uwierzytelnianie biometryczne?
- Jakie elementy obejmuje (wykrywanie twarzy, dopasowywanie twarzy, wyszukiwanie twarzy, weryfikacja wieku itp.)
- Czy zapewniasz aktywną lub pasywną kontrolę aktywności?
- Przed jakimi oszustwami biometrycznymi (PAD) chronisz?
Krok 5: Sprawdź bazę danych obsługiwanych dokumentów
Najnowocześniejsze technologie same w sobie nie wystarczą do dokładnej weryfikacji tożsamości. Najbardziej niezawodne IDV wymaga dogłębnej znajomości dokumentów tożsamości. Zwykle ma ona postać bazy danych szablonów dokumentów zawierającej szczegółowe informacje o każdym dokumencie: układ, pola, metody rejestracji danych, zabezpieczenia i inne.
Zebranie takiej kolekcji wymaga ogromnych zasobów i solidnego doświadczenia w kryminalistyce dokumentów.
Idealnie byłoby, gdyby dostawca miał w swoim zespole doświadczonych ekspertów kryminalistycznych, aby zagwarantować kompleksowość szablonów i kompetentną obsługę bazy danych. Znaczenie tego jest nie do przecenienia. Jeśli dostawca dokładnie zbadał tysiące typów dokumentów, jego oprogramowanie może z łatwością odróżnić jeden od drugiego, w pełni je odczytać i wyodrębnić wymagane dane, a tym samym skutecznie je zweryfikować.
Baza danych musi być obszerna, ponieważ nawet w jednym kraju może istnieć wiele wersji dokumentu w zależności od daty wydania. Biorąc pod uwagę częste odnawianie i ponowne wydawanie dokumentów tożsamości, baza danych powinna być również regularnie aktualizowana.
Na korzyść dostawcy przemawia również współpraca z organizacjami międzynarodowymi i agencjami bezpieczeństwa. Ugruntowane relacje pomagają im regularnie rozszerzać bazę danych o nowe typy dokumentów i dzielić się najlepszymi praktykami w zakresie wykrywania oszustw związanych z dokumentami.
Pytania, które należy zadać dostawcy:
- Jak długo działasz w branży weryfikacji tożsamości?
- Czy w zespole są eksperci z praktycznym doświadczeniem jako analitycy kryminalistyczni?
- Czy posiadasz bazę danych szablonów dokumentów? Ile pozycji zawiera?
- Jeśli w bazie danych nie ma szukanego dokumentu, ile czasu zajmuje jego dodanie?
- Czy jest to baza własna, czy zakupiona od stron trzecich?
Krok 6: Oceń czas uzyskania wartości
Niezawodność i kompletność kontroli są dobre, ale nie będą pomocne, jeśli proces integracji trwa wieki i rozsadza budżet. Presja pochodzi z wielu stron.
Z jednej strony są organy regulacyjne, których wymagania lepiej spełnić wcześniej niż później. Z drugiej strony jest też Twój produkt i przepływy pracy, które prawdopodobnie będą wymagały pewnych dostosowań od rozwiązania do weryfikacji tożsamości. Do tego dochodzi krzywa uczenia się, która w przypadku niektórych rozwiązań może być dość stroma, a przez to długa.
Pytania, które należy zadać dostawcy:
- Czy możliwe jest wbudowanie rozwiązania w aplikację internetową?
- Jak szybko będziemy w stanie rozpocząć pracę?
- Jak wygląda proces integracji?
- Jakie opcje dostosowywania oferuje Twoje rozwiązanie? Czy są one dostępne od razu po wyjęciu z pudełka, czy też wymagają dodatkowej konfiguracji/kosztów?
Krok 7: Sprawdź zgodności przepływów danych osobowych
Niezależnie od branży, ochrona danych klientów ma ogromne znaczenie. Dlatego ważne jest, aby dowiedzieć się, w jaki sposób dostawca weryfikacji tożsamości podchodzi do tej kwestii. Jeśli chodzi o pracę z danymi osobowymi klientów (PII) podczas weryfikacji tożsamości, istnieją dwa podstawowe podejścia:
- Scenariusz Software-as-a-Service (SaaS), w którym dostawcy zajmują się przechowywaniem i przetwarzaniem danych klientów we własnej infrastrukturze.
- Podejście lokalne (ang. on premises), w którym przechowujesz i przetwarzasz dane osobowe swoich klientów w ramach własnego zabezpieczonego obwodu.
Podczas gdy przypadek użycia SaaS może zaoszczędzić czas i wydatki związane z zabezpieczeniem danych we własnym zakresie, jeszcze ważniejsze jest dokładne zbadanie procedur dostawcy w zakresie bezpieczeństwa i ochrony danych klientów. Naruszenia danych nie są rzadkością.
Opcja lokalna kładzie większy nacisk na prywatność i bezpieczeństwo danych, co bywa niezwykle ważne w kontekście projektowania wewnętrznych procedur KYC i AML. Ponieważ żadne osoby trzecie nie mają dostępu do PII, zmniejsza to ryzyko naruszeń. Dodatkowa ochrona ma jednak swoją cenę. Utrzymanie infrastruktury i niezawodność w zakresie przestrzegania zasad bezpieczeństwa spoczywa na tobie, więc będziesz musiał zaplanować zasoby na szkolenia inżynieryjne i bezpieczeństwa dla pracowników.
Pytania, które należy zadać dostawcy:
- Jaki typ rozwiązania oferujesz: w chmurze czy on-prem?
- Czy gromadzicie i przechowujecie dane osobowe użytkowników końcowych?
Jeśli jest to chmura…
- Jakie certyfikaty posiada Twoja usługa? (np. SOC1 typu 2, HIPAA itp.).
- Gdzie mogę zapoznać się z polityką bezpieczeństwa?
- Jaki jest czas dostępności usługi?
Krok 8: Próba kontaktu z pomocą techniczną
Sprzedawcy mogą być responsywni przed dokonaniem sprzedaży, ale prawdziwe oblicze firmy ujawnia się, gdy klient napotyka trudności lub ma prośbę. Jeśli sprzedawca może zapewnić szybkie i profesjonalne wsparcie techniczne, oszczędza to wiele czasu, wysiłku i bólu głowy.
Idealnie jest mieć więcej niż jeden sposób kontaktu z pomocą techniczną: przez telefon, e-mail, czat na żywo lub komunikatory. W większości firm dodatkowe kanały komunikacji są dostarczane z opcją wsparcia premium. Takie wsparcie może obejmować dedykowanego menedżera i możliwość komunikowania się z zespołem dostawcy w czasie rzeczywistym, 24/7.
Jeśli ta opcja nie jest dostępna, zwróć uwagę na umowę SLA dotyczącą czasu odpowiedzi. Jest to czas, w którym dostawca zobowiązuje się odpowiedzieć na problem klienta. Zazwyczaj jest on określony przez politykę wsparcia.
Jeśli chodzi o przypadki, w których klient potrzebuje pomocy poza godzinami pracy, strona internetowa dostawcy powinna zawierać wszystkie niezbędne instrukcje, przewodniki i często zadawane pytania. Kompleksowa dokumentacja powinna odpowiadać na 90% pytań, więc zwróć uwagę na to, jak dokładnie jest wykonana, czy zawiera przykłady demonstracyjne, jak często jest aktualizowana i czy jest zlokalizowana na twój język.
Pytania, które należy zadać dostawcy:
- Jaki jest czas reakcji na prośby o wsparcie?
- Czy dostępna jest opcja wsparcia premium?
- Czy dokumentacja wsparcia jest wyczerpująca i łatwa w nawigacji?
Krok 9: Zanim zdecydujesz się na oprogramowanie do weryfikacji tożsamości, sprawdź referencje klientów
Jeśli udało Ci się przejść przez osiem powyższych kroków, możesz śmiało zaufać wynikom. Mimo to zawsze dobrze jest poszukać dodatkowego dowodu społecznego od firm, które już odniosły sukces w tym, co próbujesz osiągnąć.
W tym przypadku radzimy przeprowadzić własne badania i znaleźć jak najwięcej recenzji na temat dostawcy. Pierwszym źródłem informacji jest sekcja studium przypadku na stronie internetowej dostawcy. Możesz tam poszukać historii klientów z Twojej niszy i znaleźć odpowiednie przypadki użycia. Na przykład, jeśli jesteś platformą kryptograficzną, której celem jest wdrożenie KYC, to przypadki związane z KYC z banków również dostarczą Ci cennych informacji.
Zwróć także uwagę na to, kim są obecni klienci dostawcy. Obecność znanych nazwisk to dobry znak. Jeśli dostawca ma wśród swoich klientów organizacje na szczeblu państwowym i agencje bezpieczeństwa, takie jak kontrole graniczne, to również świetnie, ponieważ mają one najsurowsze wymagania dotyczące weryfikacji tożsamości.
Warto również sprawdzić, co media mówią o różnych dostawcach. Rozważ zbadanie nie tylko tak zwanych zasobów pierwszego poziomu, takich jak The New York Times czy Business Insider, ale skup się bardziej na publikacjach branżowych, które specjalizują się w weryfikacji tożsamości i cyberbezpieczeństwie. Takie podejście poszerzy twoje badania i zapewni bardziej kompleksowe zrozumienie reputacji różnych dostawców. Do takich mediów należą:
- Biometric Update
- Help Net Security
- Infosecurity Magazine
- Source Security
- BetaNews
- Identity Week
- Find Biometrics i inne.
Spróbuj się dowiedzieć:
- Czy są dostępne jakieś referencje w otwartych źródłach od klientów z mojej branży? Czy dostawca może dostarczyć te referencje na żądanie?
- Czy istnieją odpowiednie przypadki użycia w historiach sukcesu klientów dostawcy?
- Czy istnieją wzmianki o dostawcy w mediach branżowych i/lub mediach pierwszego poziomu?
Teraz twoja kolej
Oto nasz 9-etapowy przewodnik dotyczący wyboru najlepszego oprogramowania do weryfikacji tożsamości. Teraz chcielibyśmy usłyszeć od ciebie.
Czy są jakieś trudne aspekty, z którymi się zmagasz?
A może wykonałeś już niektóre z tych kroków i wybrałeś kilku dostawców?
Tak czy inaczej, daj nam znać, kontaktując się z nami na LinkedIn lub klikając „Skontaktuj się z nami” tutaj.
Oryginalny tekst artykułu znajdziesz pod poniższym linkiem/The original text of the article can be found at the link: