双因素身份验证 (2FA) 是一种常见的身份验证方法,可证明当前用户是有权访问帐户的个人。身份验证 (IDV) 是一种了解您的客户 (KYC) 和反洗钱 (AML) 解决方案,可验证用户的凭证,以便公司知道他们与谁建立了业务关系。
本指南融合了这两个过程的用例,找出了它们的主要区别并确定了如何最好地一起使用它们。
什么是身份验证?
IDV 是 KYC 策略中的第一个流程,是企业反洗钱 (AML) 合规义务的基础。存在多种验证用户身份的方法,所采用的技术通常由公司的基于风险的方法 (RBA) 决定。
身份验证对于传统金融 (TradFi) 领域和新兴金融领域的金融机构(例如加密行业的中心化交易所 (CEX) 和去中心化金融 (DeFi) 服务)变得越来越重要。
金融犯罪执法网络 (FinCEN) 于 2003 年推出了客户识别计划 (CIP)。 是关键的第一阶段 在客户尽职调查(CDD)之前建立新的客户业务关系。
不同行业需要不同的保证级别 (LoA)。例如,由于不同行业及其监管机构规定的监管细微差别,加密货币行业的公司需要的身份保证级别远高于电子商务行业的公司。数字 IDV 解决方案 (eIDV) 因其成本效益和可靠性,正迅速成为金融机构的首选方法。
文件验证
验证新客户身份的第一步是验证他们的 KYC 文件。最常用的文件是政府颁发的身份证件,例如驾照或护照。这些文件具有国家身份证号码和各种安全元素,旨在使其难以复制。
文件验证 分析这些安全元素,同时消化文档上的数据以获取基本的客户信息。现代文档验证利用先进的人工智能技术在 15 秒内验证文档,从而简化客户获取流程,减少摩擦。
生物特征验证
大多数金融机构 (FI) 将生物特征验证作为下一步。生物特征认证涉及将证件验证过程中提供的身份证件中的图像与自拍照或视频进行匹配。通常,此自拍照或视频是在采集过程中实时拍摄的,以创建更高的 LoA。
生物特征验证 利用机器学习算法在几秒钟内即可验证客户身份,从而增强身份保证。验证完成的速度可确保客户入职流程保持顺畅并减少客户流失。
地址证明
地址证明 (PoA) 是核心 IDV 流程。数字 PoA 验证为企业提供了大量信息,而不仅仅是客户居住地。一个关键示例是将文档上传事件的 IP 地址与文档的地理位置进行匹配。
这是至关重要的一步,尤其是对于现代金融科技公司而言,因为它可以确保用户从您的企业获得经营许可的地区访问您的服务。许多加密货币交易所因允许用户在未经许可的地区使用特定服务而因违反反洗钱法而受到巨额罚款。
香港一直在严厉打击无牌加密货币交易所,尤其是针对 比特 和 墨西哥出口中心 最近,这些交易所被指控在该地区未经证券及期货事务监察委员会颁发牌照的情况下开展业务,而证券及期货事务监察委员会是监管证券或证券类资产业务的主要金融机构。
地址验证是一种可靠的方法,可以确保交易所只接受来自其许可地区的客户。有关该地区加密货币政策的更多信息,请阅读我们的指南 2024 年香港的加密货币法规.
多局验证
多机构验证将 IDV 阶段获得的信息与合作伙伴数据库(如信用局、邮局等)进行比较。这些检查提供了额外的安全保障,因为公司会被告知特定用户的详细信息有记录。
IDV 简介
身份验证是企业用来确认新客户身份的流程。IDV 流程会根据不同的 RBA 和行业特定的合规性要求而有很大差异。
- 满足监管合规义务对于中心化加密货币交易所来说至关重要,因为它可以实现国际扩张,同时降低反洗钱罚款的可能性。
- 如果希望遵守当地监管机构的规定,使用代币化现实世界资产 (RWA) 进行运营的 DEX 还必须启动 CIP 和 IDV 流程。
- 提供加密货币 P2P 交易的去中心化加密货币交易所目前不需要任何 KYC 解决方案。由于它们提供数字资产的无缝转移,因此目前没有法律义务验证其用户。随着世界迅速批准进一步的加密货币监管,这种情况可能会改变。
- 典型的金融科技公司还必须使用最严格的 IDV 流程来验证其用户,包括文档和生物特征验证以及反洗钱监控。
身份认证
身份验证最适合用作已通过 KYC 流程验证的账户的附加保护措施。它可确保当时访问账户的人是有权访问的人。双因素身份验证是最常见的身份验证方式。
一些客户获取流程仅使用身份验证;然而,仅靠这一流程不足以遵守严格的金融法规,例如 金融行动特别工作组的建议.
双重身份验证
2FA 要求用户输入 2 个不同的代码或信息集,然后用户才能访问平台。通常,输入密码后会要求输入第二组信息。2FA 有多种形式。
- 一次性电子邮件验证码
- 一次性短信代码
- 通过身份验证器应用程序(例如 Google Authenticator)生成代码
- 生成一次性代码的硬件设备
2FA 大大降低了未经授权的实体或个人访问帐户的可能性;因此,它是一种有价值的欺诈预防工具。但是,它缺乏身份验证流程所提供的深度。此外,如果电子邮件帐户遭到入侵,它仍然允许某人欺诈性地创建新帐户。
多重身份验证
此过程与 2FA 非常相似,但验证过程包含 2 个以上的因素或数据集。多因素身份验证可能包含密码、一次性短信代码和身份验证器应用程序的代码。
生物识别 2FA
大多数现代智能手机都具有生物特征验证功能。移动设备可以使用此生物特征密钥作为第二组数据集,提供最简化的登录流程,因为授权用户无需等待即可获得访问权限。
苹果表示,其 Face ID 技术出现欺诈或生物识别失败的可能性为百万分之一。当用户通过 KYC 流程验证其帐户后尝试再次登录时,FaceIF 技术可提供极大的安全性。
基于知识的身份验证
与 2FA 类似,基于知识的身份验证使用预设问题来验证用户是否有权访问帐户。这些通常是基本但个人的问题,包括:
- 你妈妈的娘家姓什么?
- 您的第一只宠物叫什么名字?
- 您出生在哪个城镇/城市?
可以使用动态信息进一步迭代此过程。例如,可以对银行应用程序进行编程,使其询问用户有关帐户近期活动和付款历史的问题,以及只有帐户用户才知道的其他信息。
Coinbase 案例研究
大多数 CEX 将身份验证作为其 KYC 流程的一部分,并在用户登录时进行身份验证。它们共同为用户形成了一种安全而无摩擦的方法,从客户获取到返回登录。
Coinbase 是 按用户数和交易量计算,最大的加密货币交易所之一 并被誉为加密货币合规领域的领导者。美国交易所采用以下 IDV 工作流程:
- 文件上传
- 自拍上传
- 上传授权书(如需要)
Coinbase 不允许 个人无需完成此程序即可使用其平台,这是其合规优先战略背后的主要因素。交易所随后将是否实施 2FA 策略交由用户自行决定。
身份验证的局限性
身份验证不会为新创建的账户增加任何身份识别价值。如果电子邮件或短信号码已被泄露,不法分子出于恶意目的创建账户的可能性就会大大提高。
因此,2FA 无法在客户获取时防止身份盗窃,也无法遵守当地或全球反洗钱法规。KYC 流程对于希望满足严格且不断变化的法规的企业至关重要。
例如,许多身份验证包与 CDD 和持续监控解决方案配对,从而实现持续的风险评估并帮助公司了解哪些客户需要加强尽职调查 (EDD)。
通过支持私营部门采用新的合规机制,实现美国负责任技术创新的益处 并利用自动化和创新寻找打击非法融资的新方法.
全球许多主要监管机构都支持基于技术的自动化合规解决方案,以帮助打击洗钱。其中包括 FATF 和上文提到的美国财政部。采用身份验证流程而非严格的 AML 和 KYC 解决方案的金融服务可能会在 2024 年及以后受到监管机构的严格审查。
ComplyCube 的 IDV 解决方案
ComplyCube 是一家屡获殊荣的 SaaS 提供商,为众多行业提供 AML 和 KYC 解决方案,包括传统金融、金融科技、加密货币、电信等。公司可以通过多种方式与其基础设施集成。
- 通过强大的 API
- 通过将其 SDK 编码到你现有的移动技术堆栈中
- 或者通过一体化合规平台舒适地使用其基础设施。
立即与专家联系
如果您的金融科技公司或相关企业正在寻求整合合规解决方案,以促进增长并满足合规要求,请联系 ComplyCube 专家 今天就来了解他们能如何提供帮助。
