چرا اخذ عکس کارت شناسایی و عکس سلفی برای شناسایی مشتری کافی نیست

امروز راه‌حل‌های شناسایی آنلاین که امکان شناسایی مشتریان را با گرفتن عکس‌های شناسایی از مدارک و سلفی‌های آنها برای تأیید و شناسایی هویت فراهم می‌کند، دیگر با مقررات ضد پولشویی (AML) و تأمین مالی تروریسم  به‌ویژه در بخش مالی همخوانی و مطابقت ندارد. در این مقاله به بررسی این موضوع می‌پردازیم که چرا اخذ عکس کارت شناسایی و عکس سلفی برای احراز هویت مشتری کافی نیست و با رویه‌های و مقررات AML مربوط به ورود و احراز هویت مشتری مطابقت ندارد.

۳ سطح امنیتی برای ثبت نام و احراز هویت در مشتری خودت را بشناس

برای پی بردن بهتر به این که چرا تأیید هویت عکس سلفی و احراز هویت سلفی به عنوان راه حل‌های امن برای عملیات پرخطر پذیرفته نمی‌شوند، باید سه سطح امنیتی برای ثبت و احراز هویت را درک کنیم.

با توجه به موارد متعدد کلاهبرداری در فرآیندهای مشتری خودت را بشناس (KYC) و مبارزه با پولشویی (AML)، وزارت بازرگانی ایالات متحده، از طریق موسسه ملی استاندارد و فناوری NIST))، مبنایی را برای تأیید هویت دیجیتال (NIST SP 800-63A) تعریف کرد که سه سطح امنیتی را ایجاد می‌کند. برای ثبت نام و احراز هویت، سه سطح به عنوان پایین‌ترین سطح (IAL1)، سطح متوسط (IAL2) و بالاترین سطح (IAL3) طبقه‌بندی می‌شوند.

 

سطح امنیت قوی یا بالاترین سطح (IAL3) معادل شناسایی چهره به چهره است و برای ایجاد حساب آنلاین و از راه دور مناسب است. این سطح به مداخله انسانی و انتقال ویدیوی پیوسته با وضوح بالا نیاز دارد. بنابراین، تایید سلفی مجاز نیست.

راه‌حل‌هایی که تصاویر شناسایی و/یا سلفی می‌گیرند، تا زمانی که با سایر شواهد قوی هویت فرد، فراتر از تصاویر گرفته‌شده از سند هویت و ضبط چهره کاربرترکیب شوند، جزو سطح امنیت متوسط (IAL2) قرار می‌گیرند. شواهد قوی دیگر معمولاً فاکتورها، آدرس‌ها یا بررسی پیشینه اطلاعات مربوط به هویت شخص هستند.

سطح امنیت دوم ناامن، ناکارآمد و غیرقابل اعتماد است. در اتحادیه اروپا، به دلایل حفظ حریم خصوصی و امنیتی، این روش‌ها برای موارد مختلف در هر سطح خطری مجاز نیستند. علاوه بر این، دشواری در پردازش داده‌های شخصی، حتی با ماهیت عمومی، برای واحدها مشکل است تا آنها را با رضایت صریح افراد مربوطه پردازش کنند.

برای نتیجه‌گیری، پایین‌ترین سطح (IAL1) به جمع‌آوری شواهد، اعتبارسنجی، تأیید یا جمع‌آوری بیومتریک نیاز ندارد. این بدان معناست که در IAL1، نیازی به پیوند دادن کاربر به یک هویت فوری و بی‌درنگ خاص نیست و ویژگی‌های که کاربر خود اظهار کرده، نه بررسی می‌شوند و نه تایید. به عبارت دیگر، IAL1 به تأیید ادعاها و ویژگی‌هایی که کاربر به ارائه دهنده خدمات اعتبار ارائه می‌دهد نیاز ندارد. از این رو فقط برای عملیات‌های کم خطر مناسب است.

۲ دلیلی که باعث می‌شود عکس کارت شناسایی و عکس سلفی‌ برای شناسایی مشتری با تأیید هویت و استانداردهای KYC مطابقت نداشته باشند

از یک سو، سطح امنیتی پایین فنی آن‌ها، ضعف اثبات الکترونیکی ارائه شده در فرآیند مشتری خود را بشناسید (KYC) و عملکرد راه‌ حل‌های تأیید سلفی با قابلیت اطمینان پایین، در رابطه با عدم یکپارچگی آنها، باعث می‌شوند که این نوع راه حل‌ها الزامات خواسته شده توسط قانون و مقررات مختلف را رعایت نکنند.

از سوی دیگر، سطح امنیتی ارائه شده در شناسایی و احراز هویت از طریق راه حل های سلفی KYC، به دور از استانداردهای لازم برای شناسایی رسمی مشتری مطابق با سخت ترین مقررات در این زمینه، کافی نیست. بنابراین، نیازهای فنی بیشتری در فرآیند مشتری خودت را بشناس و قوانین ضد پولشویی نسبت به راه حل های مبتنی بر سلفی مورد نیاز است.

قوانین ضد پولشویی و eIDAS شناسایی سلفی مشتری را به عنوان راه حلی برای تأیید هویت قوی مستثنی می‌کند

هیچ روش شناسایی غیر چهره در اروپا اجازه استفاده از راه‌حل‌های عکس سلفی برای شناسایی مشتری را نمی‌دهد، به‌ویژه در صنایعی که نظارت سختی روی آن‌ها وجود دارد. صنایعی که توسط مقررات ضد پولشویی (AML) و خدمات شناسایی الکترونیکی، احراز هویت و اعتماد (eIDAS) تنظیم می‌شوند.

دستورالعمل AML5 و مقررات eIDAS خدمات اعتماد چارچوب نظارتی را برای فرآیندهای KYC و AML در اروپا ایجاد می‌کند. اولین مورد به چارچوب امنیتی eIDAS برای شناسایی مشتری از راه دور متکی است.

ترکیب هر دو یک چارچوب قانونی منحصربه‌فرد ایجاد می‌کند که سلفی‌ها را محکوم می‌کند و اجازه می‌دهد تا راه‌حل‌های شناسایی ویدیویی را برای فرآیندهای قراردادهای جدید خدمات و افتتاح حساب‌ها کاملاً آنلاین و ایمن بپذیرند، بنابراین بازار واحد دیجیتال اروپا را همگن می‌کند.

با این حال، حتی قبل از لازم‌الاجرا شدن AML5 و eIDAS، بسیاری از کشورهای عضو اتحادیه اروپا در مورد مجوزهای شناسایی غیر حضوری که اجازه فناوری پخش ویدیو را می‌دهد، تنظیم‌کننده‌هایی داشتند.

در عین حال، eIDAS همچنین سطوح مختلفی از امنیت (از سطح کم تا قابل توجه و بالا) را در شناسایی الکترونیکی و امضای الکترونیکی، مشابه آنچه در NIST بیان شده است، ایجاد می‌کند.

در این راستا، کمیسیون اروپا بیش از دوازده سال در زمینه صلاحیت راه حل های مناسب که با eIDAS مطابقت داشته و سطوح صحیح امنیت در شناسایی الکترونیکی و امضای الکترونیکی را برآورده می کند، کار کرده است.

به طور مشابه، به نهادهای استانداردسازی محلی و سازمان ارزیابی انطباق (CAB)  متکی است. نهادهای استانداردسازی ممیزی انجام می دهند و گزارش ارزیابی انطباق (CAR) را برای اطمینان از معتبر بودن راه حل شناسایی ویدیویی صادر می‌کنند. به عنوان مثال، فرض کنید می خواهید یک راه حل شناسایی مشتری و AML را اتخاذ کنید. در این صورت، باید از ارائه‌دهنده نرم‌افزار یک گزارش ارزیابی انطباق درخواست کنید تا تأیید کند که راه‌حل شما ممیزی و تأیید شده و مطابق با قوانین ضد پولشویی و eIDAS است.

علاوه بر این، برخی از کشورها، مانند آلمان، دستورالعمل‌های اضافی را تدوین کرده‌اند. به عنوان مثال، اولین راهنمای فنی به نام TR-03147  جزو دستورالعمل‌ها است. این راهنمای فنی آلمانی اقدامات امنیتی را برای شناسایی از راه دور مشتریان منحصراً توسط ویدئو و اسناد هویتی ایجاد می‌کند.

نحوه اجتناب از تأیید صحت عکس سلفی برای شماسایی مشتری و پیاده سازی راه حل ایمن شناسایی ویدیویی

پخش ویدیو به دلیل امنیت، UX بی عیب و اتوماسیون دیجیتال، به استانداردی برای شناسایی مشتری آنلاین تبدیل می شود. در نتیجه می توانیم با دو نوع راه حل مواجه شویم:

 

  • راه حل‌های همزمان: این راه حل‌ها شناسایی مشتری را از طریق یک کنفرانس ویدئویی به رهبری نماینده‌ای انجام می دهد که مصاحبه آنلاین مشتری، تأیید هویت و بررسی اسناد را به عهده دارد.
  • راه حل های غیر همزمان: کل فرآیند شناسایی از طریق یک ضبط ویدیویی در جریان انجام می‌شود که برای کاربر و شرکت خودکار است و مدیریت و یکپارچگی فرآیند ضبط ویدیو توسط موضوع مکلف و تأیید آفلاین بعدی توسط یک نماینده واجد شرایط را تضمین می‌کند.

 

هر دو راه حل را می توان با توجه به نیاز به استفاده از آنها ترکیب کرد. معمولاً از ویدئو کنفرانس (همزمان) برای فروش مشاوره‌ای استفاده می شود که در آن مشتری جدیدی به دست می‌آید. از سوی دیگر، ویدیوی ناهمزمان (شناسایی ویدیویی) در فرآیندهای جذب مشتری رایج‌تر است که به چابکی و تجربه‌ای سریع و روان نیاز دارند، اما به اندازه شناسایی حضوری (یعنی فرآیند افتتاح حساب بانکی آنلاین) ایمن هستند. نمونه ای از راه حل ایمن و ساده، یوآیدی است.

یوآیدی اولین سرویس احراز هویت دیجیتال در کشور است که فرایند احراز هویت کاربران را با الگوریتم های هوش مصنوعی و یادگیری ماشین نظیر تشخیص چهره و تشخیص زنده بودن چهره کاربر انجام می دهد. فرایند احراز هویت غیرحضوری با یوآیدی به صورت آنی و با دقت بالای ۹۸ درصد انجام می پذیرد. برای دریافت مشاوره رایگان جهت احراز هویت کاربران خود و شناخت مشتری خود با یوآیدی تماس بگیرید.

برای امتیاز دادن کلیک کنید!
[تعداد نظر: ۰ میانگین: ۰]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

نوشته های مرتبط