راهکارهای شناسایی که با روش دریافت تصویر سلفی و تصویر مدارک شناسایی امکان تشخیص فرد را فراهم میآوردند، با قوانین ضد پولوشویی و تامین تروریسم به ویژه در حوزه پولی و مالی مطابقت ندارند.
در این مقاله دلایلی را که این راهکارها با سایر روال های مرسوم شناسایی مشتری (KYC) و ضد پولشویی (AML) برای احراز و جذب مشتری همسو نیستند بیان میکنیم.
چرا راهکارهای شناسایی با استفاده از سلفی با روالهای شناسایی مشتری و مقابله با پولشویی ناسازگارند؟
سطح پایین امنیت تکنولوژیک این راهکارها، ضعف مستندات الکترونیکی فراهم شده در فرایند شناسایی مشتری (KYC) و سستی اعتبار ناشی از عدم تمامیت آنها، الزامات قانونی و قواعد مختلف را برآورده نمیسازد.
سطح امنیت فراهم شده با در نظر گرفتن استانداردهای مورد نیاز برای احراز هویت مشتریان رسمی با توجه به قوانین سختگیرانه در این حوزه بسیار ضعیف است و نیازمندیهای تکنولوژیک بالاتری از سطح سلفی برای پروسه شناسایی مشتری و مقابله با پولشویی لازم است.
امنیت فرآیند شناسایی مشتری (KYC)/ مقابله با پول شویی (AML) در ایالات متحده امریکا
با توجه به موارد متعدد تقلب در فرایند شناسایی مشتری / پولشویی، وزارت اقتصاد ایالت متحده امریکا توسط سازمان جهانی استاندارد و تکنولوژی (NIST) الزامات اولیهای برای تایید هویت دیجیتال تعریف کرده است (NIST SP 800-63A). این الزامات مشتمل بر سه سطح امنیتی برای ثبت نام و اثبات تایید هویت است که با عناوین محدود (IAL1)، متوسط (IAL2) و زیاد (IAL3) دستهبندی شدهاند.
سطح دسترسی زیاد (IAL3) متناظر است با احراز هویت حضوری و برای ساختن حساب کاربری به صورت آنلاین یا از راه دور مناسب است. این سطح نیازمند دخالت انسانی و انتقال با کیفیت ( رزولوشن بالا) و بدون انقطاع تصویر ویدویویی است.
راهکارهایی که از کاربر تصویر یا سلفی دریافت میکنند در سطح متوسط امنیت (IAL2) قرار میگیرند، تا زمانی که علاوه بر تصاویر مدارک هویتی و چهره کاربر با اسناد معتبرتری تلفیق شوند. این اسناد شامل مطابقت صورتحساب، نشانیها یا بررسی سایر اطلاعات مرتبط با هویت فرد در پس زمینه سرویس هستند.
سطح اول، نا امن، ناکارآمد و غیرقابل اطمینان است. در اتحادیه اروپا به دلایل حریم شخصی و امنیت، این روشها برای هیچ سطحی از ریسک قابل قبول نیستند بر خلاف آنچه در انگلیس وجود دارد. علاوه بر این، دشواری دیگر برای پردازش دیتای فردی، رضایت صریح و روشن شخص است.
شناسایی مشتری (KYC) در اروپا ؛ مقابله با پول شویی (AML) و احراز هویت آنلاین (EIDAS)
همانطور که پیشتر بیان شد، روال های شناسایی غیرحضوری در اروپا که اجازه استفاده از روشهای شناسایی هویت بر مبنای تصویر یا سلفی شخص را بدهد وجود ندارد.
قوانین AML5 Directive و مقررات EIDAS، چارچوب تنظیم مقررات برای شناسایی مشتری و مبارزه با پولوشویی در اروپا را بر عهده دارند. این چارچوب، به کارگیری روش شناسایی با ویدیو برای انعقاد قراردادهای جدید و باز کردن حساب کاربری به صورت کاملا آنلاین و امن را فراهم می کند. و بنابراین نقش یکسانسازی در بازار دیجیتالی اروپا را بر عهده دارد.
مقررات EIDAS، سطوح مختلفی از امنیت را ( از حد پایین تا متوسط و بالا) در شناسایی هویت به صورت الکترونیکی و امضای الکترونیک فراهم میآورد.
قوانین AML5 یا 5AMLD بر پایه EIDAS برای شناسایی غیرحضوری مشتریان استوار است. کمیسیون اروپا بیش از 12 سال در ایجاد صلاحیت برای اعتباربخشی به راهکارهای مطابق با EIDAS و سطوح امنیت در احراز هویت الکترونیکی ( آنلاین) و امضای الکترونیک فعالیت کرده است. این کمیسیون به همین ترتیب، به نهادهای استاندارد سازی محلی و نهاد ارزیابی انطباق (CAB) نیز استناد میکند.
امضامی امضای الکترونیک
برای اطمینان از معتبر بودن راهحل شناسایی ویدیویی، نهادهای ارزیابی انطباق (CAB ها) وظیفه ممیزی را بر عهده دارند و نتیجه را به صورت گزارش ارزیابی انطباق (CAR) صادر میکنند. مشابه آنچه در ایران انطباق تصویر با کارت ملی فرد از طریق سرویس سازمان ثبت احوال صورت میگیرد).
بنابراین در اروپا، اگر میخواهید از یک راهکار شناسایی مشتری (KYC / AML) استفاده کنید، باید از ارائهدهنده نرمافزار درخواست گزارش ارزیابی انطباق (CAR) برای تایید اینکه راهکار شما ممیزی شده، گواهی شده و با مقررات EIDAS / AML سازگار است، درخواست کنید.
کشورهایی مانند آلمان رهنمودهای دیگری تدوین کردهاند. به عنوان مثال، در صورت لزوم، اولین راهنمای فنی به نام TR-03147. اقدامات امنیتی را برای شناسایی غیرحضوری مشتری منحصراً توسط ویدئو و از طریق اسناد هویتی تعیین میکند.
با این وجود، حتی قبل از فعالیت AML5 و EIDAS، بسیاری از کشورهای عضو اتحادیه اروپا تنظیم کنندههای مقرراتی در خصوص مجوزهای شناسایی غیرحضوری با مجوز بهره برداری از تکنولوژی ارسال ویدیو را داشتهاند.
نهادهای نظارتی KYC / AML در اروپا
BAFIN (Bundesanstalt für Finanzdienstleistungsaufsicht) – تنظیم مقررات آلمان
FMA (Financial Market Authority) – تنظیم مقررات اتریش
FINMA (Swiss Financial Market Supervisory Authority) – تنظیم مقررات سوییس.
CSSF (Commission of Surveillance du Secteur Financier) – تنظیم مقررات لوگزامبورگ.
BdP (Bank of Portugal) – تنظیم مقررات پرتغال.
FCIS (Financial Crime Investigation Service under the Ministry of Interior) – تنظیم مقررات لیتوانی.
SEPBLAC (Executive Service for Money Laundering Prevention) –اسپانیا تنظیم مقررات.
آمریکای لاتین
CNBV (National Banking and Securities Commission) – تنظیم مقررات مکزیک.
آسیا
MAS (Monetary Authority of Singapore) – تنظیم مقررات سنگاپور.
FSC (Financial Services Commission) – تنظیم مقررات کره.
FSA or JFSA (Japan Financial Services Agency) – تنظیم مقررات ژاپن.
HKMA (Hong Kong Monetary Authority) – تنظیم مقررات هنگ کنگ.
تمام رویهها / مجوزهای تهیه شده توسط این نهادها به صورت آنلاین در دسترس عموم قرار دارند.
راهحلهای ایمن شناسایی ویدیویی برای KYC / AML
ارسال ویدئو در حال تبدیل شدن به یکی از استانداردهای شناسایی آنلاین مشتری است و دو نوع راهکار برای آن وجود دارد:
- راهکارهای همزمان: کنفرانس ویدیویی توسط فرد متولی که مصاحبه آنلاین مشتری، تأیید هویت و مستندات آن را انجام میدهد.
- راهکارهای ناهمزمان: ضبط ویدئو در جریان فرآیند انجام میشود، ضمانت کنترل و یکپارچگی روند ضبط ویدیو توسط موضوع مطرح شده برای ویدیو اجرا میشود و تأیید آفلاین بعدی توسط یک نماینده واجد شرایط صورت میگیرد.
بسته به نیاز میتوان از هر دو راهکار و ترکیب آنها بهره برد. معمولاً از ویدئو کنفرانس ( راهکار همزمان) برای فروش مشاورهای استفاده میشود که در آن مشتری جدیدی جذب میشود. راهکار ناهمزمان (Video ID) در فرآیندهای جذب مشتری که به چابکی در فرآیند نیاز دارند مورد استفاده قرار میگیرند زیرا این راهکار، تجربه سریع و روان بودن را برای آنها فراهم می آورد. در عین حال به اندازه شناسایی حضوری ایمن است (به عنوان مثال فرآیند افتتاح حساب بانکی بصورت آنلاین نمونهای از یک راه حل ایمن و ساده VideoID است).
ترجمه و تالیف: فروغ مروّج صالحی
منبع: electronicid.eu
