Melhores práticas para verificação de ID do cliente

Aumentos massivos nas transações digitais, incluindo pagamentos online e o modelo compre agora, pague depois (BNPL), criaram uma lacuna de segurança que os cibercriminosos podem explorar. As empresas precisam saber com quem estão lidando para evitar envolvimento em crimes financeiros. Know Your Customer (KYC), bem como processos de verificação de identidade (IDV), em que uma organização verifica a identidade de um indivíduo, são partes essenciais das transações online. Sem identidades verificadas, empresas e governos ficariam à mercê do crime financeiro em todo o mundo.

A verificação do cliente é essencial para consolidar a confiança nas transações digitais para ambas as partes na equação online. No entanto, a verificação do cliente é uma das áreas mais complexas do design e da implementação digitais, porque um serviço precisa equilibrar segurança, opções de verificação e uma experiência do cliente fluida.

Este artigo explora as melhores práticas para verificação de ID do cliente, destacando as metodologias usadas em ecossistemas de identidade digital.

Resumo das principais melhores práticas para verificação de ID do cliente

A principal solução de Conheça Seu Cliente (KYC) com tecnologia de IA do setor

SAIBA MAIS

• 

  Verifique IDs, documentos, endereços, idade, bases de dados globais de fraude e listas de sanções

• 

  Aumente a confiança com tecnologia biométrica, processamento de imagens e Estimativa de idade

• 

  Proteja-se contra fraude e risco de lavagem de dinheiro com detecção em tempo real baseada em IA

Definir os requisitos de verificação do cliente

Antes de escolher um fornecedor ou projetar um fluxo de trabalho, você precisa de uma base clara do que o seu fluxo de verificação deve alcançar. Isso começa com clareza sobre níveis de garantia e conformidade. Quais regulamentações se aplicam ao seu serviço e mercados, qual nível de verificação é exigido para cada caso de uso e onde você precisa de verificações reforçadas para ações de maior risco. Ao mesmo tempo, é necessário definir restrições operacionais, como fricção aceitável, metas de desempenho e o que acontece quando a verificação falha, incluindo caminhos alternativos para usuários legítimos.

Por fim, torne explícitos os requisitos de conformidade e segurança ao definir quais dados são coletados, como são protegidos, o que precisa ser registrado para auditorias e por quanto tempo os registros devem ser retidos. Uma base bem definida impede que as equipes otimizem para um único objetivo, como velocidade, criando ao mesmo tempo novos riscos de exposição a fraude ou lacunas regulatórias.

A análise dos requisitos de verificação dependerá dos casos de uso do sistema identificados. Os casos de uso para verificação de identidade são amplos; alguns exemplos incluem casos específicos de países, como o Right to Rent do Reino Unido, KYC de clientes e transações financeiras de alto valor. Mapeie os requisitos de conformidade para refletir todos os casos de uso e requisitos de verificação. Outros fatores nessa etapa incluirão requisitos não funcionais, como desempenho, treinamento da aplicação e escalabilidade.

O diagrama abaixo resume as cinco principais categorias de requisitos que devem ser levantadas antes de construir um sistema de verificação de ID do cliente

Principais insumos que moldam sua abordagem de verificação de ID do cliente

Identificar quais regulamentações abrangem sua organização

As regulamentações dependem dos tipos de transação, localização geográfica, serviço e setor de atuação. Se sua organização trabalha com órgãos governamentais ou cidadãos, os níveis de garantia locais provavelmente determinarão os requisitos de verificação.

Registrar considerações de negócio

Registre quaisquer metas de negócio que você deseje refletir na sua jornada de verificação. Por exemplo, sua organização exigirá white label de soluções de terceiros, como ofertas baseadas em aplicativos? Ofertas que fornecem verificação automatizada podem ajudar empresas menores a se beneficiar da verificação.

Identificar métodos de verificação

O exercício de levantamento de requisitos determinará exigências de verificação de identidade alinhadas às regulamentações e às necessidades de negócio. A verificação assume muitas formas, mas alguns exemplos gerais de métodos de verificação do cliente incluem o seguinte:

• Documentos de identidade (passaportes, carteira de motorista etc.)
• Comprovante de endereço/domicílio
• Triagem de Prevenção à Lavagem de Dinheiro (PLD)
• Checagens de Pessoa Politicamente Exposta (PPE)

A due diligence do cliente (CDD) é uma forma de KYC que verifica dados do cliente, como informações pessoais, em bases de dados, bem como por meio de verificações biométricas e de documentos de identidade. Se um cliente for considerado de alto risco, muitas vezes é necessário um processo de due diligence ampliada (EDD). A Força-Tarefa de Ação Financeira (FATF) classifica PPEs como de alto risco. A EDD exige verificações de KYC mais intensivas, incluindo documentação adicional e checagens de PLD.

A verificação da origem dos fundos (SoF) é realizada para identificar a origem dos recursos em uma transação de alto valor e é exigida por regulamentações de PLD. As checagens incluem EDD, checagens de PPE e localização dos fundos; esta última é determinada usando tecnologias como open banking ou por meio de bancos e escritórios de advocacia.

Implementar verificações especializadas de verificação

Alguns casos de uso, como aqueles com restrições de idade associadas, exigirão verificações mais especializadas. Aqui estão alguns dos mais comuns:

• Verificações biométricas e de prova de vida, usadas para vincular um indivíduo a um conjunto de declarações de identidade e que podem ser aplicadas em casos de uso que exigem prevenção de deepfake
• Estimativa de idade, para casos de uso que não exigem a idade específica de uma pessoa, por exemplo, quando basta saber se está acima/abaixo de uma determinada idade
• Verificação de idade, para casos de uso que exigem a idade real de um indivíduo ou precisam de um alto nível de garantia de que a pessoa está acima ou abaixo de determinada idade
• Verificação em base de dados, que pode ser necessária para cruzar identidades com bases de dados globais a fim de fortalecer a confiança, atender a requisitos regulatórios e detectar fraudes precocemente

Identificar casos de uso que exijam verificação de empresas

A verificação de empresas, ou know your business (KYB), é exigida para instituições financeiras e em casos de uso como due diligence em cadeia de suprimentos. Verificar a legitimidade de um fornecedor é essencial à medida que os ciberataques na cadeia de suprimentos se tornam mais comuns.

As checagens de KYB oferecem tranquilidade ao seu negócio ao garantir que as organizações com as quais você trabalha sejam legítimas. As verificações de KYB são feitas em relação a registros comerciais globais. Verificar a legitimidade de uma empresa ajuda a reduzir o risco e garantir conformidade regulatória.

Um aspecto essencial de KYB é a verificação do beneficiário final (UBO). As checagens de UBO fazem parte de todos os principais frameworks de PLD. Verificar o status de UBO de uma empresa com a qual você pretende fazer negócios é vital para identificar possíveis atividades fraudulentas e proteger sua empresa contra danos reputacionais. Ter um processo robusto de UBO é parte fundamental da conformidade de PLD.

Avaliar fornecedores de verificação do cliente

Depois de reunir todos os requisitos e determinar as capacidades de que você precisa, será necessário selecionar um fornecedor de verificação do cliente. Defina uma lista curta de fornecedores que consigam atender tanto aos requisitos funcionais quanto aos não funcionais.

As plataformas dos fornecedores devem oferecer um pacote abrangente de tipos de verificação. (fonte)

Fornecedores que oferecem múltiplas fontes de verificação e verificações antifraude, como apresentado no gráfico acima, proporcionam uma abordagem unificada para verificação de ID do cliente.

Depois de criar uma lista curta de fornecedores, você pode iniciar o processo de avaliação. A lista a seguir de recursos ajudará você a identificar os fornecedores de verificação mais adequados:

• Integração fácil: Priorize fornecedores com APIs e SDKs que se encaixem no seu stack tecnológico e fluxo de entrega, com suporte de documentação clara e um ambiente de testes para que sua equipe possa validar o fluxo de ponta a ponta desde cedo. Durante a avaliação, solicite evidências mensuráveis da velocidade de implementação e do desempenho da verificação, incluindo prazos típicos de integração para equipes como a sua e o esforço de engenharia esperado. Confirme o tempo típico de verificação de ponta a ponta para usuários iniciantes e como essa métrica é medida, incluindo médias e resultados de percentis altos por região e tipo de documento. Além disso, valide a cobertura antecipadamente, confirmando países e territórios atendidos, idiomas suportados e documentos de identidade aceitos, e garanta que o fornecedor consiga atender sua base de usuários atual e a expansão planejada. Use um benchmark concreto para estimar o impacto na entrada de novos clientes, como verificação inicial em seis segundos ou menos, e exija que os fornecedores forneçam números comparáveis usando a mesma abordagem de medição.
• Verificação rápida e com menos fricção: A solução do fornecedor deve demonstrar verificações rápidas que reduzam a fricção para o cliente. Verificações em tempo real e de alta velocidade reduzem a fricção e mantêm a segurança. Solicite dados de desempenho ao fornecedor.
• Otimização da verificação: A checagem de PLD é intensiva em dados. Procure fornecedores que consigam preparar e otimizar as checagens de PLD usando tecnologias assistidas por IA.
• Checagens de PPE oferecidas como parte da solução do fornecedor: Se o seu caso de uso exigir checagens de PPE, a escolha de fornecedor deve incluir verificações abrangentes que façam o cruzamento de múltiplas listas de sanções e listas de observação. Como as listas de PPE são dinâmicas, verifique se o fornecedor tem acesso a listas de PPE atualizadas em tempo quase real.
  Vale ressaltar também que checagens de sanções e de PPE não são necessariamente mutuamente exclusivas. As empresas podem ter um relacionamento legítimo com uma PPE, mas não com uma pessoa sancionada.
• Prevenção eficaz de ciberataques: O fornecedor de identidade deve oferecer tecnologias de verificação que reduzam o risco de ciberataques baseados em identidade, incluindo deepfakes.
• Reverificação: Confirme se o fornecedor oferece gatilhos e fluxos de reverificação configuráveis, como revisões baseadas em tempo, gatilhos baseados em eventos, expiração de documentos e verificações adicionais baseadas em risco, além de logs de resultados de reverificação prontos para auditoria.

Identificar e executar as melhores práticas de privacidade e segurança na verificação

A verificação de identidade é um dos aspectos para criar transações de clientes seguras com a sua empresa. No entanto, segurança e privacidade desde a concepção precisam estar incorporadas em todo o serviço para aderir a regulamentações rígidas de privacidade, como o GDPR da UE.

O Artigo 9 do GDPR, por exemplo, abrange o tratamento de categorias especiais de dados pessoais, incluindo dados biométricos. Para tratar dados biométricos para fins de PLD, uma organização deve ter uma base legal para seu uso. O Artigo 6 do GDPR lista motivos para uma base legal de tratamento, incluindo quando “o tratamento é necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento esteja sujeito”.

Alcançar um serviço seguro e que respeite a privacidade exige uma abordagem holística que inclua as seguintes áreas de foco:

• Realizar uma avaliação de risco: Sua avaliação de risco deve incorporar a troca de dados de verificação e considerar os riscos representados por deepfakes, IDs sintéticos etc. O documento resultante de avaliação de risco informará as decisões de segurança durante o design e o desenvolvimento do serviço. Uma avaliação de impacto à privacidade (PIA) identifica riscos de privacidade, como questões de consentimento para compartilhamento durante o processo de verificação.
• Requisitos de segurança para armazenamento de dados: Decida se os dados verificados serão usados para criar uma identidade persistente, por exemplo, em um aplicativo com a marca da empresa. Em caso afirmativo, onde os dados armazenados ficarão (e quais jurisdições e medidas de segurança de base de dados se aplicam)?
• Tratamento e gestão de dados: Determine as medidas de segurança necessárias para proteger os dados. As medidas normalmente envolvem criptografia de dados durante a transferência e o armazenamento dos dados de verificação. Estabeleça se ofuscação de dados/prova de conhecimento zero e minimização de dados são necessárias e como o seu serviço pode cumprir esses requisitos.
• Medidas para prevenir riscos de identidade: Como o serviço lidará com riscos de deepfake e identidades sintéticas? Você já deve conhecer as opções oferecidas por eventuais fornecedores para mitigar esses riscos.

Identificar e registrar jornadas do usuário e regras de verificação

O design do serviço que usa verificação de ID do cliente deve incorporar as opções de verificação exigidas durante o registro. Os casos de uso identificados durante o exercício de levantamento de requisitos informarão o design do sistema. Os casos de uso devem ser mapeados para jornadas do usuário, registrando as etapas que incorporam opções de verificação de ID do cliente. O design da jornada do usuário ajudará a esclarecer as regras de verificação que melhorarão a segurança, a confiança do cliente e a usabilidade do serviço.

A seguir são descritas as etapas típicas realizadas durante essa fase de design:

Registrar fluxos de serviço

Projete os fluxos do serviço e diagramas de sequência para incorporar caminhos de verificação (UML). Esses diagramas servirão como blueprint para arquitetos de sistemas e desenvolvedores.

Criar documentos de design

Mapeie casos de uso para jornadas do usuário. Diagramas UML podem ser usados para descrever o design do sistema, mostrando componentes, interações do usuário e fluxo de dados e fornecendo insumos sobre requisitos de código.

Exemplo de um diagrama simples de caso de uso mostrando um fluxo “feliz” de verificação de ID do cliente.

Documentação de design em ambientes reais costuma ser mais complexa e abranger múltiplos casos de uso. A documentação de jornadas do usuário deve registrar todos os caminhos “felizes” e alternativos para garantir que o sistema responda corretamente em todas as circunstâncias. Registrar casos de uso e jornadas do usuário pode ser trabalhoso, mas resultará em um serviço mais robusto e utilizável.

Identificar casos extremos e caminhos alternativos

Ao projetar jornadas do usuário, casos extremos e caminhos alternativos devem ser considerados. Casos extremos incluem quaisquer casos de uso que fujam do caminho “feliz” e caminhos alternativos óbvios. Por exemplo, um requisito de F2F pode ser visto como um caso extremo, pois pode afetar apenas alguns clientes. Identificar essas experiências fora do caminho principal ajudará você a desenvolver um serviço acessível e abrangente que use verificação de ID do cliente.

Determinar regras de verificação e outras regras do sistema

A reverificação é geralmente parte integrante de um processo de KYC e deve ser vista como due diligence contínua do cliente, não como um processo pontual. A reverificação envolve verificar novamente um indivíduo já verificado em uma base de dados, registrar documentos de ID atualizados e/ou realizar verificação biométrica.

As regras são usadas para acionar eventos de reverificação. As regras podem incluir reverificação após X período de tempo ou após uma revisão de risco dos perfis de clientes. Neste último caso, clientes de alto risco normalmente exigem reverificações mais frequentes do que clientes de risco médio ou baixo. A reverificação também pode ser acionada por eventos como a expiração de um documento de ID (por exemplo, renovação de passaporte) ou mudanças na situação do cliente, como atualização de beneficiário final ou sinais de notícias negativas.

Decida sobre as regras para monitoramento contínuo e captura de logs. Identifique quaisquer regras necessárias para otimização da jornada do usuário, como oferecer opções alternativas de verificação se a verificação falhar.

O gráfico a seguir ilustra um caso de uso simples típico de uma jornada de verificação em caminho “feliz” para um cliente.

Verificar um indivíduo usando biometria adiciona uma camada de segurança à verificação de ID do cliente. (fonte)

Projetar melhores práticas para verificação do cliente em um amplo espectro demográfico

A verificação online pode não cobrir todos os casos de uso, portanto organizações que desejam oferecer serviços a uma ampla gama de clientes podem precisar explorar jornadas alternativas do usuário, algumas das quais podem exigir jornadas modificadas para refletir necessidades complexas, como opções de verificação fora de banda. A etapa inicial de design deve ter identificado quaisquer casos extremos em que os clientes provavelmente não serão verificados online no nível de garantia exigido pelo serviço. Alguns dos principais pontos a considerar ao explorar essas jornadas de casos extremos incluem o seguinte:

• Lidar com clientes com pouca ou nenhuma presença online: Alguns clientes podem ser difíceis de verificar online. Nesses casos, você deve explorar alternativas de verificação para clientes com um histórico de dados limitado.
• Atestação e verificação: Decida se o serviço precisa lidar com verificação fora de banda por meio de um avalista. Se for o caso, você precisará contratar uma empresa ou indivíduo para realizar a atestação (por exemplo, um contador ou escritório de advocacia). Nesse caso, você precisará de verificação do indivíduo ou empresa antes de realizar qualquer atestação.
• Atualizar sua documentação de design da jornada do usuário: Depois de definir quaisquer casos extremos e requisitos de verificação offline, você deve atualizar o documento de design. Os caminhos alternativos ou expandidos adicionais passarão então a fazer parte do seu processo geral de design e desenvolvimento.

Decidir sobre as regras e requisitos de auditoria e relatórios

Logs de auditoria são necessários para identificar problemas do sistema e registrar chamadas e resultados de verificação. Identidades verificadas com registro de auditoria fornecem uma forma altamente transparente de garantir que os direitos de acesso corretos sejam aplicados e cumpridos. A criação de logs é útil para determinar requisitos de help desk, realizar avaliações de segurança, garantir conformidade e rastrear problemas do sistema.

Capture regras de auditoria e de geração de logs durante o design do serviço para implementação em produção. Use as seguintes melhores práticas em relação à auditoria de eventos e à criação de logs.

Determinar as regras de auditoria associadas à verificação de ID do cliente

As regras usadas ao aplicar verificação a uma jornada do usuário devem incluir o registro de checagens de verificação, isto é, logs para registrar uma tentativa de verificação. As regras devem refletir requisitos de conformidade e os registros devem ser retidos de acordo com requisitos regulatórios locais; normalmente, o período mínimo de retenção de registros é de cinco anos a partir da última transação com o cliente.

Configure o registro de eventos de auditoria

Configure trilhas de auditoria para refletir as regras. Suas regras de auditoria registrarão vários eventos do serviço, incluindo tentativas de login, alterações de conta e (no caso de verificação de ID do cliente) eventos de verificação, o endereço IP do cliente, as informações do computador e do navegador e um carimbo de data e hora. Se for tomada uma decisão ou o ID for aprovado manualmente, o registro do agente de KYC ou do analista de compliance também será registrado e retido. A trilha de auditoria deve registrar tanto tentativas de verificação malsucedidas quanto eventos bem-sucedidos. A análise dos logs pode oferecer insights que ajudem a otimizar as jornadas de verificação do usuário.

Estabelecer um sistema para tratar os logs

Você já possui um sistema que trata o registro de eventos, como um sistema de gestão de informações e eventos de segurança (SIEM)? A solução coletará e registrará dados de eventos a partir de eventos de verificação. A solução também deve enviar alertas sobre falhas ou outras atividades incomuns para viabilizar a análise e apoiar a resposta ao evento.

Gerar relatórios de serviço

Relatórios ajudam a demonstrar conformidade, portanto garanta que os logs capturem dados que evidenciem checagens de verificação e resultados, incluindo problemas e falhas. Relatórios de serviço registram resultados de verificação e ajudam a identificar problemas com as opções de verificação. Relatórios altamente granulares também podem vincular problemas a perfis demográficos específicos de usuários, ajudando a identificar melhorias de serviço para maximizar as taxas de onboarding e de correspondência de verificação.

Oferecer histórico de transações do cliente

Identifique qualquer requisito de oferecer aos clientes um histórico de checagens de verificação. Se o histórico de um cliente for disponibilizado, o serviço deve oferecer uma interface ou outra opção para visualizar eventos de verificação.

Implementar elementos para preparar sua verificação do cliente para o futuro

O cenário tecnológico e as capacidades técnicas mudam com o tempo. A IA é uma dessas inovações tecnológicas que está alterando os níveis de risco de serviços que dependem de identidade digital robusta. Documentos de identidade falsos gerados por IA e deepfakes representam uma ameaça séria e complexa à verificação de ID do cliente. Além disso, as regulamentações são atualizadas para refletir mudanças no cenário de risco. Portanto, é essencial que qualquer serviço que dependa de verificação para identificar clientes implemente medidas para preparar seus serviços e sistemas para o futuro.

As seguintes medidas de melhores práticas são sugeridas para preparar a verificação de ID do cliente para o futuro:

• Manter-se atualizado: Mantenha seu conhecimento sobre o cenário em evolução de tecnologia e clientes. Garanta que administradores, designers de sistemas e outras partes interessadas se mantenham atualizados sobre mudanças importantes nas ofertas de verificação.
• Incorporar extensibilidade ao seu serviço: Certifique-se de projetar seu serviço para utilizar opções de verificação atualizadas à medida que as regulamentações mudam. Você pode se beneficiar escolhendo um fornecedor de verificação que prepare ativamente suas soluções para o futuro. Procure capacidades como perpetual know your customer (pKYC), que garante uma abordagem dinâmica e proativa à verificação do cliente. Garanta que todos os casos de uso e jornadas do usuário reflitam as mudanças no cenário regulatório e de segurança, bem como nas necessidades dos clientes.
• Alinhar-se às mudanças regulatórias: As regulamentações são atualizadas para refletir cenários de risco em mudança, e as medidas de verificação precisam refletir essas mudanças. Mantenha-se atualizado sobre as regulamentações em evolução e garanta que você escolha um fornecedor de verificação que trate novos riscos, como deepfakes, adaptando sua tecnologia com rapidez e eficácia.
• Projetar com riscos futuros em mente: Escolha um fornecedor de verificação que entenda o cenário de risco e tenha uma tecnologia que também esteja preparada para o futuro. Fornecedores que entendem a importância de preparar soluções de verificação para o futuro garantirão que o seu serviço se beneficie de seu know-how e capacidades, com extensibilidade incorporada desde o design.

Conclusão

A verificação de ID do cliente é um componente essencial de qualquer serviço que exija capacidades de KYC. No entanto, projetar e desenvolver um serviço que esteja em conformidade com as regulamentações, reduza o risco de transações do cliente e minimize a fricção nas interações do cliente é um desafio. Seguir as melhores práticas comprovadas do setor ajudará a evitar serviços inseguros e a reduzir as taxas de abandono de clientes.

Comece definindo os requisitos de verificação de ID do cliente; isso ajudará você a identificar o parceiro de verificação certo para o seu serviço. Seguir as melhores práticas de segurança e privacidade e aplicá-las durante o processo de design garantirá que seus casos de uso e jornadas do usuário sejam abrangentes. Regras de verificação e de registro de eventos aumentarão a flexibilidade e a conformidade no seu processo de design.

Por fim, garantir que o serviço esteja preparado para o futuro por meio do design é essencial em um cenário em constante mudança. Reunir todos esses princípios de design é viável quando você escolhe um fornecedor de verificação de ID do cliente que cumpra esses objetivos.

Veriff é líder global em verificação de ID do cliente, oferecendo KYC robusto desenvolvido para atender à conformidade e prevenir fraude. As soluções de verificação da Veriff criam confiança com seus clientes ao aproveitar verificação e autenticação de identidade com tecnologia de IA. A Veriff combina prevenção de fraude, conformidade e experiência do usuário para oferecer soluções seguras e escaláveis, em que organizações no mundo todo confiam.