Acceso
Ayuda
Obtener VerificaciónMejores prácticas para la verificación de ID del cliente
Los incrementos masivos en las transacciones digitales, incluidos los pagos en línea y el esquema de compra ahora y paga después (BNPL), han creado una brecha de seguridad que los ciberdelincuentes pueden explotar. Las empresas deben saber con quién están tratando para evitar verse involucradas en delitos financieros. Los procesos de Know Your Customer (KYC) y la verificación de identidad (IDV), en los que una organización verifica la identidad de una persona, son partes esenciales de las transacciones en línea. Sin una identidad verificada, las empresas y los gobiernos por igual estarían a merced del delito financiero en todo el mundo.
La verificación de clientes es esencial para consolidar la confianza en las transacciones digitales para ambas partes en la ecuación en línea. Sin embargo, la verificación de clientes es una de las áreas más complejas del diseño e implementación digitales porque un servicio debe equilibrar la seguridad, las opciones de verificación y una experiencia del cliente sin fricciones.
Este artículo explora las mejores prácticas para la verificación de ID del cliente, destacando las metodologías utilizadas en los ecosistemas de identidad digital.
Resumen de las principales mejores prácticas para la verificación de ID del cliente
| Mejor práctica | Descripción |
|---|---|
| Definir los requisitos de verificación del cliente |
|
| Evaluar a los proveedores de verificación de clientes |
|
| Identificar y aplicar las mejores prácticas de verificación de privacidad y seguridad |
|
| Identificar y documentar los recorridos de usuario y las reglas de verificación |
|
| Diseñar mejores prácticas para la verificación de clientes de un amplio espectro demográfico |
|
| Definir las reglas y requisitos de auditoría y generación de reportes |
|
| Implementar elementos para preparar tu verificación de clientes para el futuro |
|
-
Verifica identificaciones, documentos, direcciones, edad, bases de datos globales de fraude y listas de sanciones
-
Aumenta la confianza con tecnología biométrica, procesamiento de imágenes y Estimación de edad
-
Protégete contra el fraude y el riesgo de lavado de dinero con detección en tiempo real potenciada por IA
Definir los requisitos de verificación del cliente
Antes de elegir un proveedor o diseñar un flujo de trabajo, necesitas una base clara de lo que tu flujo de verificación debe lograr. Esto comienza con claridad en cuanto a los niveles de seguridad y cumplimiento. Qué regulaciones se aplican a tu servicio y mercados, qué nivel de verificación se requiere para cada caso de uso y dónde necesitas verificaciones reforzadas para acciones de mayor riesgo. Al mismo tiempo, debes definir las limitaciones operativas, como la fricción aceptable, los objetivos de rendimiento y qué sucede cuando la verificación falla, incluidas las rutas alternativas para usuarios legítimos.
Por último, haz explícitos los requisitos de cumplimiento y seguridad definiendo qué datos se recopilan, cómo se protegen, qué debe registrarse para auditorías y durante cuánto tiempo se deben conservar los registros. Una base bien definida evita que los equipos optimicen para un único objetivo, como la velocidad, mientras crean nuevos riesgos de exposición al fraude o brechas regulatorias.
El análisis de los requisitos de verificación dependerá de los casos de uso del sistema que se hayan identificado. Los casos de uso de verificación de identidad son amplios; algunos ejemplos incluyen casos específicos de un país, como el Right to Rent del Reino Unido, KYC del cliente y transacciones financieras de alto valor. Mapea los requisitos de cumplimiento para reflejar todos los casos de uso y los requisitos de verificación. Otros factores durante esta etapa incluyen requisitos no funcionales, como rendimiento, capacitación en el uso de la aplicación y escalabilidad.
El siguiente diagrama resume las cinco categorías clave de requisitos que deben recopilarse antes de construir un sistema de verificación de ID del cliente
Elementos clave que dan forma a tu enfoque de verificación de ID del cliente
Identificar qué regulaciones cubren a tu organización
Las regulaciones dependen de los tipos de transacciones, la ubicación geográfica, el servicio y tu sector industrial. Si tu organización trabaja con dependencias gubernamentales o con ciudadanos, los niveles locales de seguridad probablemente dictarán los requisitos de verificación.
Registrar consideraciones de negocio
Registra cualquier objetivo de negocio que desees reflejar en tu recorrido de verificación. Por ejemplo, ¿requerirá tu organización etiquetado blanco de soluciones de terceros, como ofertas basadas en aplicaciones? Las ofertas que proporcionan verificación automatizada pueden ayudar a que empresas más pequeñas se beneficien de la verificación.
Identificar métodos de verificación
El ejercicio de recopilación de requisitos determinará los requisitos de verificación de identidad que estén alineados con las regulaciones y las necesidades del negocio. La verificación adopta muchas formas, pero algunos ejemplos generales de métodos de verificación de clientes incluyen lo siguiente:
- Documentos de identidad (pasaportes, licencias de conducir, etc.)
- Comprobante de domicilio/residencia
- Evaluaciones de prevención de lavado de dinero (PLD)
- Controles de personas políticamente expuestas (PEP)
La debida diligencia del cliente (CDD) es una forma de KYC que contrasta los datos del cliente, como la información personal, con bases de datos, así como controles biométricos y de documentos de identidad. Si se considera que un cliente es de alto riesgo, a menudo se requiere un proceso de debida diligencia ampliada (EDD). El Grupo de Acción Financiera Internacional (GAFI) clasifica a las PEP como de alto riesgo. La EDD requiere controles de KYC más intensivos, incluida documentación adicional y controles de PLD.
La verificación del origen de los fondos (SoF) se lleva a cabo para identificar el origen de los fondos en una transacción de alto valor y está mandatada por las regulaciones de PLD. Los controles incluyen EDD, controles PEP y la localización de los fondos; esta última se determina utilizando tecnología como banca abierta o a través de bancos y despachos de abogados.
Implementar controles de verificación especializados
Algunos casos de uso, como aquellos con restricciones asociadas a la edad, requerirán controles más especializados. Estos son algunos de los más comunes:
- Controles biométricos y de prueba de vida, que se utilizan para vincular a una persona con un conjunto de atributos de identidad y pueden emplearse en casos de uso que requieran prevención de deepfakes
- Estimación de edad, para casos de uso que no requieren la edad específica de una persona, por ejemplo, cuando basta con saber si está por encima o por debajo de una determinada edad
- Verificación de edad, para casos de uso que requieren la edad real de una persona o necesitan un alto nivel de seguridad de que la persona está por encima o por debajo de una cierta edad
- Verificación en bases de datos, que puede ser necesaria para contrastar identidades con bases de datos globales a fin de reforzar la confianza, cumplir requisitos regulatorios y detectar el fraude de manera temprana
Identificar casos de uso que requieren verificación de negocio
La verificación de negocio, o know your business (KYB), es necesaria para las instituciones financieras y en casos de uso como la debida diligencia en la cadena de suministro. Comprobar la legitimidad de un proveedor es esencial a medida que los ciberataques a la cadena de suministro se vuelven más frecuentes.
Los controles KYB brindan tranquilidad a tu empresa al garantizar que las organizaciones con las que trabajas sean legítimas. Las verificaciones KYB se realizan contra registros comerciales globales. Verificar la legitimidad de un negocio ayuda a reducir el riesgo y garantizar el cumplimiento normativo.
Un aspecto esencial del KYB es la verificación del beneficiario final (UBO). Los controles UBO forman parte de todos los marcos principales de PLD. Verificar el estatus de UBO de una empresa con la que deseas hacer negocios es vital para identificar posibles actividades fraudulentas y proteger tu negocio de daños reputacionales. Contar con un proceso UBO sólido es una parte fundamental del cumplimiento de PLD.
Evaluar a los proveedores de verificación de clientes
Una vez que hayas recopilado todos tus requisitos y determinado las capacidades que necesitas, tendrás que buscar un proveedor de verificación de clientes. Define una lista corta de proveedores que puedan cumplir con los requisitos funcionales y no funcionales.
Las plataformas de los proveedores deben ofrecer un paquete integral de tipos de verificación. (fuente)
Los proveedores que ofrecen múltiples fuentes de verificación y controles antifraude, como se muestra en la ilustración anterior, proporcionan un enfoque unificado para la verificación de ID del cliente.
Una vez que hayas creado una lista corta de proveedores, puedes comenzar el proceso de evaluación. La siguiente lista de características te ayudará a identificar a los proveedores de verificación que mejor se ajusten a tus necesidades:
- Integración sencilla: Da prioridad a los proveedores con API y SDK que se adapten a tu stack tecnológico y a tu flujo de trabajo de entrega, respaldados por documentación clara y un entorno de pruebas para que tu equipo pueda validar pronto el flujo de extremo a extremo. Durante la evaluación, solicita pruebas medibles de la velocidad de implementación y del rendimiento de la verificación, incluidos los plazos típicos de integración para equipos como el tuyo y el esfuerzo de ingeniería esperado. Confirma el tiempo típico de verificación de extremo a extremo para usuarios primerizos y cómo se mide ese indicador, incluidas las medias y los resultados de percentiles altos por región y tipo de documento. Además, valida la cobertura desde el principio confirmando los países y territorios admitidos, los idiomas admitidos y los documentos de identidad admitidos, y asegúrate de que el proveedor pueda atender a tu base de usuarios actual y a la expansión prevista. Utiliza un punto de referencia concreto para estimar el impacto en la incorporación, como la verificación por primera vez en seis segundos o menos, y exige a los proveedores que proporcionen cifras comparables utilizando el mismo enfoque de medición.
- Verificación rápida y con menos fricción: La solución del proveedor debe demostrar verificaciones rápidas que reduzcan la fricción para el cliente. Las verificaciones en tiempo real y de alta velocidad reducen la fricción y mantienen la seguridad. Solicita datos de rendimiento al proveedor.
- Optimización de la verificación: Los controles de PLD son muy intensivos en datos. Busca proveedores que puedan preparar para el futuro y optimizar los controles de PLD utilizando tecnologías asistidas por IA.
- Controles PEP ofrecidos como parte de la solución del proveedor: Si tu caso de uso requiere controles PEP, tu elección de proveedor debe incluir controles integrales que hagan referencia cruzada a múltiples listas de sanciones y listas de vigilancia. Dado que las listas PEP son dinámicas, verifica que el proveedor tenga acceso a listas PEP actualizadas al minuto.
También debe señalarse que los controles de sanciones y los controles PEP no son necesariamente mutuamente excluyentes. Las empresas pueden mantener una relación legítima con una PEP, pero no con una persona sancionada. - Prevención eficaz de ciberataques: El proveedor de identidad debe ofrecer tecnologías de verificación que reduzcan el riesgo de ciberataques basados en la identidad, incluidos los deepfakes.
- Re-verificación: Confirma que el proveedor admite disparadores y flujos de trabajo de re-verificación configurables, como revisiones basadas en el tiempo, disparadores basados en eventos, vencimiento de documentos y verificaciones reforzadas basadas en el riesgo, junto con registros listos para auditoría de los resultados de la re-verificación.
Identificar y aplicar las mejores prácticas de verificación de privacidad y seguridad
La verificación de identidad es un aspecto de la creación de transacciones seguras de los clientes con tu empresa. Sin embargo, la seguridad y la privacidad desde el diseño deben incorporarse en todo el servicio para cumplir con estrictas regulaciones de privacidad como el RGPD de la UE.
El artículo 9 del RGPD, por ejemplo, cubre el tratamiento de categorías especiales de datos personales, incluidos los datos biométricos. Para tratar datos biométricos con fines de PLD, una organización debe tener una base jurídica para su uso. El artículo 6 del RGPD enumera los motivos para una base jurídica de tratamiento, incluida la situación en la que “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.
Lograr un servicio seguro y respetuoso de la privacidad requiere un enfoque holístico que incluya las siguientes áreas de enfoque:
- Llevar a cabo una evaluación de riesgos: Tu evaluación de riesgos debe incorporar el intercambio de datos de verificación y considerar los riesgos que plantean los deepfakes, las identificaciones sintéticas, etc. El documento resultante de evaluación de riesgos informará las decisiones de seguridad durante el diseño y desarrollo del servicio. Una evaluación de impacto en la privacidad (PIA) identifica riesgos de privacidad, como problemas de consentimiento para compartir datos durante el proceso de verificación.
- Requisitos de seguridad del almacenamiento de datos: Decide si los datos verificados se utilizarán para crear una identidad persistente, por ejemplo, en una aplicación con la marca de la empresa. En ese caso, ¿dónde se almacenarán los datos (y qué jurisdicción y medidas de seguridad de la base de datos se aplican)?
- Gestión y manejo de datos: Determina las medidas de seguridad necesarias para proteger los datos. Las medidas suelen incluir el cifrado de datos durante la transferencia y el almacenamiento de los datos de verificación. Define si se requieren ofuscación de datos/pruebas de conocimiento cero y minimización de datos, y cómo tu servicio puede cumplir con estos requisitos.
- Medidas para prevenir riesgos de suplantación de identidad: ¿Cómo gestionará el servicio los riesgos de deepfakes e identidades sintéticas? Ya deberías conocer las opciones que ofrecen los posibles proveedores para mitigar estos riesgos.
Identificar y documentar los recorridos de usuario y las reglas de verificación
El diseño del servicio que utiliza la verificación de ID del cliente debe incorporar las opciones de verificación requeridas durante el registro. Los casos de uso identificados durante el ejercicio de recopilación de requisitos informarán el diseño del sistema. Los casos de uso deben mapearse a recorridos de usuario, registrando los pasos que incorporan opciones de verificación de ID del cliente. El diseño del recorrido de usuario ayudará a aclarar las reglas de verificación que mejorarán la seguridad, la confianza del cliente y la usabilidad del servicio.
A continuación se describen los pasos típicos que se llevan a cabo durante esta etapa de diseño:
Documentar los flujos del servicio
Diseña los flujos del servicio y los diagramas de secuencia para incorporar las rutas de verificación (UML). Estos diagramas servirán como planos para arquitectos de sistemas y desarrolladores.
Crear documentos de diseño
Mapea los casos de uso a los recorridos de usuario. Se pueden utilizar diagramas UML para describir el diseño del sistema, mostrando componentes, interacciones de usuario y flujo de datos, y aportando información sobre los requisitos de código.
Ejemplo de un diagrama de caso de uso simple que muestra un proceso de verificación de ID del cliente en una ruta ideal.
La documentación de diseño en el mundo real suele ser más compleja y cubrir múltiples casos de uso. La documentación del recorrido de usuario debe registrar todas las rutas ideales y alternativas posibles para garantizar que el sistema responda correctamente en todas las circunstancias. Documentar casos de uso y recorridos de usuario puede ser laborioso, pero dará como resultado un servicio más sólido y fácil de usar.
Identificar casos extremos y rutas alternativas
Al diseñar recorridos de usuario, deben considerarse los casos extremos y las rutas alternativas. Los casos extremos incluyen cualquier caso de uso que quede fuera de la ruta ideal y de las rutas alternativas obvias. Por ejemplo, un requisito de verificación cara a cara F2F podría considerarse un caso extremo, ya que puede afectar solo a unos pocos clientes. Identificar estas experiencias fuera de la ruta ideal te ayudará a desarrollar un servicio accesible y completo que utilice la verificación de ID del cliente.
Definir las reglas de verificación y otras reglas del sistema
La re-verificación suele ser una parte integral de un proceso de KYC y debe verse como una debida diligencia continua del cliente, no como un proceso puntual. La re-verificación implica comprobar a una persona ya verificada contra una base de datos, capturar documentos de identidad actualizados y/o realizar verificaciones biométricas.
Las reglas se utilizan para desencadenar eventos de re-verificación. Las reglas pueden incluir la re-verificación después de X período de tiempo o después de una revisión de riesgo de los perfiles de los clientes. En este último caso, los clientes de alto riesgo normalmente requerirán una re-verificación más frecuente que los clientes de riesgo medio o bajo. La re-verificación también puede desencadenarse por eventos como el vencimiento de un documento de identidad (por ejemplo, la renovación de un pasaporte) o cambios en la situación del cliente, como una titularidad beneficiaria actualizada o señales de noticias adversas.
Define las reglas para el monitoreo continuo y la captura de registros. Identifica cualquier regla necesaria para la optimización del recorrido de usuario, como ofrecer opciones de verificación alternativas si la verificación falla.
La siguiente ilustración muestra un caso de uso simple típico de un recorrido de verificación en ruta ideal para un cliente.
Verificar a una persona utilizando biometría añade una capa de seguridad a la verificación de ID del cliente. (fuente)
Diseñar mejores prácticas para la verificación de clientes de un amplio espectro demográfico
La verificación en línea puede no cubrir todos los casos de uso, por lo que las organizaciones que deseen ofrecer servicios a una amplia gama de clientes pueden necesitar explorar recorridos de usuario alternativos, algunos de los cuales pueden requerir recorridos de usuario modificados para reflejar necesidades complejas de los clientes, como opciones de verificación fuera de banda. La etapa inicial de diseño debe haber identificado cualquier caso extremo en el que sea poco probable que los clientes se verifiquen en línea al nivel de seguridad requerido por el servicio. Algunas de las consideraciones clave al realizar esta exploración de recorridos de casos extremos incluyen lo siguiente:
- Gestión de clientes con poca o ninguna presencia en línea: Algunos clientes pueden ser difíciles de verificar en línea. En estos casos, deberías explorar alternativas de verificación para clientes con un historial de datos limitado.
- Referencias y verificación: Decide si el servicio necesita gestionar la verificación fuera de banda mediante un aval. Si es así, tendrás que contratar a una empresa o a un individuo para realizar el aval (por ejemplo, un contador o un despacho de abogados). En este caso, necesitarás la verificación del individuo o del negocio antes de realizar cualquier aval.
- Actualización de la documentación de diseño del recorrido de usuario: Una vez que hayas definido los casos extremos y los requisitos de verificación fuera de línea, deberías actualizar el documento de diseño. Las rutas alternativas o ampliadas adicionales pasarán entonces a formar parte de tu proceso general de diseño y desarrollo.
Definir las reglas y requisitos de auditoría y generación de reportes
Los registros de auditoría son necesarios para identificar problemas del sistema y registrar las llamadas de verificación y sus resultados. La identidad verificada con registro de auditoría proporciona una forma altamente transparente de garantizar que se apliquen y hagan cumplir los derechos de acceso correctos. El registro de eventos es útil para determinar los requisitos de la mesa de ayuda, realizar evaluaciones de seguridad, garantizar el cumplimiento y rastrear problemas del sistema.
Documenta las reglas de auditoría y registro durante el diseño del servicio para implementarlas en producción. Utiliza las siguientes mejores prácticas en lo que respecta a auditoría de eventos y registro.
Definir las reglas de auditoría asociadas con la verificación de ID del cliente
Las reglas utilizadas al aplicar la verificación a un recorrido de usuario deben incluir el registro de los controles de verificación, es decir, registros para capturar un intento de verificación. Las reglas deben reflejar los requisitos de cumplimiento y los registros deben conservarse de acuerdo con los requisitos regulatorios locales; normalmente, el período mínimo de conservación de registros es de cinco años desde la última transacción con el cliente.
Configurar el registro de eventos de auditoría
Configura las trazas de auditoría para reflejar las reglas. Tus reglas de auditoría capturarán diversos eventos del servicio, incluidos intentos de inicio de sesión, cambios en la cuenta y (para la verificación de ID del cliente) eventos de verificación, la dirección IP del cliente, la información de la computadora y del navegador, y una marca de tiempo. Si se toma una decisión o el ID se aprueba manualmente, también se registran y conservan los datos del agente de KYC o del analista de cumplimiento. La traza de auditoría debe capturar tanto los intentos de verificación fallidos como los exitosos. El análisis de los registros puede ofrecer información que ayude a optimizar los recorridos de verificación de usuarios.
Establecer un sistema para gestionar los registros
¿Ya tienes un sistema que gestiona el registro de eventos, como un sistema de gestión de información y eventos de seguridad (SIEM)? La solución recopilará y registrará datos de eventos de verificación. La solución también debe enviar alertas sobre fallos u otra actividad inusual para permitir el análisis y respaldar la respuesta al evento.
Generar reportes del servicio
La generación de reportes ayuda a demostrar el cumplimiento, por lo que debes asegurarte de que los registros capturen datos que muestren las verificaciones y sus resultados, incluidos problemas y fallos. Los reportes del servicio registran los resultados de verificación y ayudan a identificar problemas con las opciones de verificación. Algunos reportes altamente granulares también pueden vincular problemas a segmentos demográficos específicos de usuarios, lo que ayuda a identificar mejoras del servicio para maximizar las tasas de incorporación y de coincidencia en la verificación.
Ofrecer historial de transacciones del cliente
Identifica cualquier requisito para ofrecer a los clientes un historial de sus verificaciones. Si se va a ofrecer el historial de un cliente, el servicio debe proporcionar una interfaz u otra opción para ver los eventos de verificación.
Implementar elementos para preparar la verificación de tus clientes para el futuro
El panorama tecnológico y las capacidades técnicas cambian con el tiempo. La IA es una de esas innovaciones tecnológicas que está cambiando los niveles de riesgo de los servicios que dependen de una identidad digital sólida. Los documentos de identidad falsos generados por IA y los deepfakes representan una amenaza grave y compleja para la verificación de ID del cliente. Además, las regulaciones se actualizan para reflejar los cambios en el panorama de riesgos. Por lo tanto, es esencial que cualquier servicio que dependa de la verificación para identificar a los clientes implemente medidas para preparar su servicio y sistemas para el futuro.
Se sugieren las siguientes medidas de mejores prácticas para preparar la verificación de ID del cliente para el futuro:
- Mantenerse al día: Mantén tus conocimientos sobre el cambiante panorama tecnológico y de los clientes. Asegúrate de que los administradores, los diseñadores del sistema y otras partes interesadas se mantengan actualizados sobre los cambios clave en las ofertas de verificación.
- Incorporar extensibilidad en tu servicio: Asegúrate de diseñar tu servicio para utilizar opciones de verificación actualizadas a medida que cambian las regulaciones. Puedes beneficiarte eligiendo un proveedor de verificación que prepare activamente sus soluciones para el futuro. Busca capacidades como el perpetual know your customer (pKYC), que garantiza un enfoque dinámico y proactivo de la verificación de clientes. Asegúrate de que todos los casos de uso y recorridos de usuario reflejen el cambiante panorama regulatorio y de seguridad, así como las necesidades de los clientes.
- Alinearse con las regulaciones cambiantes: Las regulaciones se actualizan para reflejar paisajes de riesgo cambiantes, y las medidas de verificación deben reflejar estos cambios. Mantente al día con la evolución de las regulaciones y asegúrate de elegir un proveedor de verificación que aborde nuevos riesgos, como los deepfakes, adaptando su tecnología de forma rápida y eficaz.
- Diseñar pensando en los riesgos futuros: Elige un proveedor de verificación que entienda el panorama de riesgos y que cuente con una tecnología preparada para el futuro. Los proveedores que entienden la importancia de preparar las soluciones de verificación para el futuro garantizarán que tu servicio se beneficie de su conocimiento y capacidades, con la extensibilidad integrada en el diseño.
Conclusión
La verificación de ID del cliente es un componente esencial de cualquier servicio que requiera capacidades de KYC. Sin embargo, el diseño y desarrollo de un servicio que cumpla con las regulaciones, reduzca el riesgo en las transacciones de los clientes y minimice la fricción en las interacciones con ellos es un desafío. Seguir las mejores prácticas probadas en toda la industria ayudará a prevenir servicios inseguros y a reducir las tasas de abandono de clientes.
Comienza por definir tus requisitos de verificación de ID del cliente; esto te ayudará a identificar al socio de verificación adecuado para tu servicio. Seguir las mejores prácticas en seguridad y privacidad, y aplicarlas durante el proceso de diseño, garantizará que tus casos de uso y recorridos de usuario sean integrales. Las reglas de verificación y de registro de eventos aumentarán la flexibilidad y el cumplimiento en tu proceso de diseño.
Por último, garantizar que el servicio esté preparado para el futuro mediante el diseño es esencial en un panorama cambiante. Reunir todos estos principios de diseño es alcanzable cuando eliges a un proveedor de verificación de ID del cliente que cumpla con estos objetivos.
Veriff es un líder global en verificación de ID del cliente, que ofrece un KYC sólido creado para cumplir con el cumplimiento y prevenir el fraude. Las soluciones de verificación de Veriff generan confianza con tus clientes aprovechando la verificación y autenticación de identidad impulsadas por IA. Veriff combina prevención del fraude, cumplimiento y experiencia de usuario para ofrecer soluciones seguras y escalables en las que confían organizaciones de todo el mundo.
Suscríbete para recibir información
