Fundamenty bezpiecznej zautomatyzowanej weryfikacji tożsamości IDnow

Zdalna weryfikacja tożsamości jest obecnie jednym z kluczowych elementów cyfrowego onboardingu klientów w branżach takich jak bankowość, fintech, telekomunikacja, leasing czy ubezpieczenia. Stanowi również podstawę procesu zdalnego wydawania kwalifikowanych podpisów elektronicznych. Jest to obszar szczególnie wrażliwy, ponieważ każdy błąd w procesie może skutkować nie tylko stratą finansową, ale także ryzykiem prawnym lub reputacyjnym dla firmy lub użytkownika indywidualnego. Dlatego bezpieczeństwo procesu i systemu, na którym się opiera, ma kluczowe znaczenie.

W SIGNIUS współpracujemy z IDnow, europejskim liderem w zakresie tożsamości cyfrowej i zapobiegania oszustwom. Ich oparta na AI technologia weryfikacji zgodna z eIDAS zapewnia weryfikację tożsamości na naszej platformie do podpisywania dokumentów, gwarantując, że każdy podpis jest oparty na zweryfikowanej i zaufanej tożsamości.

W tym artykule przedstawiamy kluczowe aspekty bezpieczeństwa procesu onboardingu oraz ochrony danych w metodzie automatycznej weryfikacji tożsamości stosowanej na naszej platformie, obejmującej zarówno kontrole biometryczne, jak i weryfikację dokumentów.

Artykuł został przygotowany we współpracy z naszym partnerem technologicznym w zakresie weryfikacji tożsamości – IDnow.

Maksymalne bezpieczeństwo i pozytywne doświadczenie użytkownika

Na początku warto podkreślić, że rozwiązanie do automatycznej weryfikacji tożsamości IDnow zostało zaprojektowane tak, aby pogodzić dwa cele: maksymalne bezpieczeństwo oraz pozytywne doświadczenie użytkownika. U podstaw tego podejścia leży wielowarstwowa architektura bezpieczeństwa, która chroni cały proces – od weryfikacji dokumentów i biometrii po ochronę danych po zakończeniu weryfikacji.

Wielowarstwowe podejście do bezpieczeństwa

Bezpieczeństwo w zdalnej weryfikacji tożsamości IDnow nie opiera się na jednym mechanizmie, lecz na połączeniu kilku warstw, z których każda chroni przed innym rodzajem zagrożenia. Dzięki temu nawet jeśli jedna warstwa zawiedzie, pozostałe nadal chronią proces.

„Nasze rozwiązanie do automatycznej weryfikacji tożsamości nie opiera się na pojedynczej kontroli – łączy analizę dokumentów, biometryczne wykrywanie żywotności, uwierzytelnianie chipów oraz wykrywanie ataków typu „injection”, aby zamknąć wszystkie furtki, które oszuści mogliby próbować wykorzystać” — komentuje Christoph Bruetting, Director of Product w IDnow.

Weryfikacja dokumentu tożsamości

Pierwszym i podstawowym krokiem jest analiza dokumentu tożsamości. System nie tylko odczytuje dane, ale przeprowadza wielopoziomową weryfikację autentyczności, obejmującą:

• identyfikację typu dokumentu (np. dowód osobisty, paszport),
• odczyt MRZ (Machine Readable Zone) przy użyciu OCR,
• sprawdzanie dat ważności oraz integralności danych za pomocą sum kontrolnych.

Pozwala to wykrywać podstawowe próby oszustwa, takie jak użycie przeterminowanych lub sfałszowanych dokumentów. Rozwiązanie rozpoznaje również próby oszustwa polegające na prezentowaniu zdjęcia dokumentu na ekranie telefonu lub użyciu wydrukowanej kopii zamiast oryginalnego dokumentu.

Analiza dynamiczna

Statyczny obraz dokumentu nie wystarcza do potwierdzenia jego autentyczności. Dlatego rozwiązanie wykorzystuje analizę obrazu wideo w czasie rzeczywistym. Użytkownik jest proszony o lekkie przechylenie dokumentu, co umożliwia wykrycie elementów widocznych wyłącznie w ruchu, takich jak hologramy czy farby optycznie zmienne. Jest to kluczowe zabezpieczenie, ponieważ takie cechy są niezwykle trudne do odtworzenia w sfałszowanych dokumentach.

Weryfikacja chipa kryptograficznego

W przypadku nowoczesnych dokumentów elektronicznych (e-paszportów, e-dowodów) najwyższy poziom bezpieczeństwa zapewnia kryptograficzny chip. Rozwiązanie do weryfikacji tożsamości IDnow weryfikuje chip z różnych perspektyw, zapewniając najwyższy dostępny poziom pewności co do autentyczności dokumentu. Sfałszowanie chipa bez dostępu do klucza prywatnego kraju wydającego dokument jest praktycznie niemożliwe.

Biometria i wykrywanie żywotności

Nawet jeśli dokument jest autentyczny, nadal konieczne jest upewnienie się, że osoba, która się nim posługuje, jest jego prawowitym właścicielem. Dlatego system wykorzystuje dopasowanie twarzy (selfie vs. dokument) oraz analizę biometryczną.

Kluczowym elementem jest tutaj wykrywanie żywotności. System analizuje krótkie nagranie wideo (krótsze niż 2 sekundy), aby sprawdzić, czy przed kamerą znajduje się prawdziwa osoba, a nie na przykład zdjęcie, maska 3D, nagranie wideo lub deepfake. W erze generatywnej AI element ten stał się jednym z najważniejszych zabezpieczeń w całym procesie KYC.

Kontrola jakości przez człowieka w przypadkach granicznych

Rozwiązanie IDnow przewiduje również sytuacje, w których wymagana jest ocena człowieka. W przypadkach granicznych przeprowadzana jest ręczna weryfikacja przez przeszkolonych specjalistów. Dodatkowo wykonywana jest ocena jakości zakończonych weryfikacji. Zapewnia to równowagę między automatyzacją a czynnikami kontekstowymi, których algorytm mógłby nie wychwycić.

Ochrona danych po weryfikacji tożsamości

Bezpieczeństwo nie kończy się na weryfikacji tożsamości. Równie ważne jest to, co dzieje się z danymi później. Rozwiązanie IDnow opiera się na różnych filarach ochrony danych, obejmujących:

• szyfrowanie danych w trakcie przesyłu,
• szyfrowanie danych w spoczynku,
• infrastrukturę opartą na dwóch centrach danych działających w trybie active-active,
• dane w całości przechowywane na terenie Unii Europejskiej,
• pełną kontrolę dostępu do danych (zasada najmniejszych uprawnień, obowiązkowe uwierzytelnianie dwuskładnikowe (2FA) oraz zasada „czterech oczu” dla operacji administracyjnych).

„Wszystkie dane identyfikacyjne są przechowywane na terenie Unii Europejskiej. IDnow korzysta wyłącznie z certyfikowanych dostawców hostingu spełniających standardy branżowe i regulacje UE” – mówi Christoph Bruetting, Director of Product w IDnow.

Retencja danych

Kwestia retencji danych po weryfikacji tożsamości jest bardzo istotna. Co ważne, dane identyfikacyjne nie są przechowywane bezterminowo. Standardowy cykl życia danych obejmuje:

• 60 dni przechowywania danych produkcyjnych,
• 30 dni dla kopii zapasowych.

Certyfikacja

Poziom bezpieczeństwa i ochrony danych rozwiązania IDnow jest niezależnie potwierdzany poprzez uznawane międzynarodowo certyfikaty, zewnętrzne audyty oraz ciągłe programy testowe. Zapewnia to klientom obiektywne i niezależne potwierdzenie standardów bezpieczeństwa weryfikacji tożsamości IDnow.

Rozwiązanie spełnia wymagania takie jak:

• ISO 27001,
• ISAE 3402,
• GDPR.

Testy penetracyjne i skanowanie podatności

Testy penetracyjne są przeprowadzane corocznie przez wykwalifikowanych zewnętrznych specjalistów ds. bezpieczeństwa. Testy te symulują rzeczywiste scenariusze ataków w celu identyfikacji podatności, zanim zostaną one wykorzystane.
Dodatkowo kwartalnie wykonywane są skany podatności dla wszystkich zewnętrznych adresów IP, zapewniając ciągłe monitorowanie publicznie dostępnej powierzchni ataku.

Podsumowanie

Zdalna automatyczna weryfikacja tożsamości IDnow to złożony ekosystem bezpieczeństwa, w którym każdy element odgrywa inną, istotną rolę. Siła podejścia IDnow polega na tym, że nie opiera się ono na pojedynczym mechanizmie ochrony danych, lecz na wielowarstwowym systemie odporności na oszustwa, który łączy AI, kryptografię, biometrię oraz nadzór człowieka. Dzięki temu proces weryfikacji tożsamości IDnow jest jednocześnie szybki i wygodny dla użytkownika, a także bezpieczny i odporny na nowoczesne formy cyberoszustw – od prostych fałszerstw po zaawansowane ataki oparte na sztucznej inteligencji. Dzięki szyfrowaniu, ścisłej kontroli dostępu oraz zgodności z regulacjami dane użytkowników pozostają bezpieczne na każdym etapie swojego cyklu życia.