FICO

• 

  Exinda

  WAN Optimization Suite integrates enterprise-caliber bandwidth optimization and acceleration with best-in-class application network visibility and control in a single, easy-to-use suite. Now you can create a high-performance WAN for your organization that delivers a reliable, predictable user experience for strategic applications wherever they are used.

  Visit Website
• 
  

  Xác thực danh tính thích ứng là gì?

  Sarah Rutherford đã tìm hiểu về tầm quan trọng của quản trị rủi ro trong quá trình xác thực khách hàng và giao dịch theo thời gian thực

  Phương pháp sinh trắc học ngày càng được ứng dụng rộng rãi trong việc xác minh danh tính của một tài khoản tài chính khi được tạo mới và khi được sử dụng. Trong bối cảnh các tương tác ngày càng được số hóa, người dùng đã dần bắt đầu chấp nhận việc ứng dụng sinh trắc học. Điều này được thể hiện trong một cuộc khảo sát độc lập gần đây của FICO được thực hiện trên 5.000 người tại 10 quốc gia. Tại tất cả các quốc gia được khảo sát, hơn 60% khách hàng sẵn sàng vui vẻ cung cấp sinh trắc học cho ngân hàng điện tử (vân tay, quét khuôn mặt hay nhận diện giọng nói) để tăng tính bảo mật.

  

  Nhiều khả năng, tính ứng dụng của sinh trắc học sẽ còn phát triển hơn nữa. Vậy thì chúng ta cần phải làm gì để quản lý danh tính thông qua dữ liệu từ sinh trắc học?

  

  Xác nhận danh tính

  Xác nhận danh tính là đảm bảo rằng danh tính đó thực sự tồn tại. Ví dụ, phương pháp này chứng minh rằng có một người tên là Jane Smith và có các thông tin tương ứng như ngày tháng năm sinh hay số an sinh xã hội. Phương pháp này thường được thực hiện qua kiểm tra dữ liệu như quyền cử tri hay những văn bản có độ tin cậy cao như hộ chiếu được chính phủ cấp, chứng minh thư, bằng lái xe… và kiểm tra độ chân thực, hiệu lực để đảm bảo không bị làm giả hoặc sửa đổi.

  Công nghệ khả dụng trong hầu hết điện thoại thông minh giúp đảm bảo chất lượng ảnh chụp các tài liệu phục vụ mục đích xác nhận danh tính. Công nghệ nhận dạng ký tự quang học thậm chí có thể thay người dùng điền vào các mẫu đơn bằng các dữ liệu được trích xuất từ tài liệu.

  Xác minh danh tính

  Ở bước này, bạn cần xác minh người đang kết nối với bạn và chủ nhân của các giấy tờ tùy thân được cung cấp là một. Đây chính là bước đầu trong quy trình sử dụng sinh trắc học để thiết lập danh tính. Bước này được thực hiện thông qua việc lấy ảnh trong giấy tờ tùy thân làm bằng chứng và so sánh chúng với người dùng.

  Ở ngoài đời, nhân viên sẽ kiểm tra ảnh trong tài liệu xem có trùng khớp với người ngồi đối diện không. Còn trên nền tảng kỹ thuật số, việc xác minh danh tính cũng giống như cho phép người dùng gửi một bức hình “selfie” để so sánh với ảnh của họ trong giấy tờ tùy thân.

  Những biện pháp kiểm tra khác cũng sẽ được sử dụng nhằm đảm bảo người dùng đang thực sự ngồi ở phía bên kia màn hình (chứ không phải là các đối tượng mạo danh sử dụng hình ảnh hay video của người khác). Bước kiểm tra tính “thực” này được thực hiện qua cả hai phương pháp bị động và chủ động: bị động khi các phân tích học máy dựa trên sự nhất quán trong hành vi để cho kết luận liệu người dùng có đang thực sự kết nối hay không, hoặc chủ động khi người dùng được yêu cầu thực hiện một số hành động cụ thể như nhìn lên, nhìn xuống hoặc nhìn sang hai bên.

  Thông thường, cả xác minh danh tính và xác thực danh tính đều được gọi là chứng minh danh tính.

  Lưu trữ các yếu tố chứng minh danh tính

  Xác minh danh tính khi đăng ký tài khoản giúp doanh nghiệp đảm bảo việctạo tài khoản cho một người dùng thực. Tuy nhiên doanh nghiệp vẫn cần đảm bảo việc tương tác với người dùng đó trong mọi tương tác. Những phương pháp kiểm tra có thể linh động và sử dụng các

  yếu tố khác nhau. Để đảm bảo quá trình kiểm tra linh hoạt, doanh nghiệp cần thiết lập các phương pháp xác thực thỏa mãn các yêu cầu sau:
  - Các yếu tố đặc trưng của một cá nhân – ví dụ như sinh trắc học
  - Các yếu tố sở hữu của người dùng – ví dụ như một chiếc điện thoại di động
  - Nội dung chỉ người dùng biết – ví dụ như mật khẩu
  

  Việc lưu trữ những yếu tố xác minh này có thể được thực hiện qua một quy trình nhiều bước. Ví dụ, doanh nghiệp có thể tự động sử dụng ảnh selfie và bản quét tài liệu của người dùng khi họ mở tài khoản. Như vậy, người dùng sẽ không cần phải thực hiện thêm những bước khác. Việc lưu trữ những yếu tố khác như sinh trắc học giọng nói có thể được thực hiệntrong quá trình mở tài khoản. Khi đã đăng kí tài khoản thành công, khách hàng thường sẽ không ngại thực hiện liền các bước tiếp theo trong quy trình cung cấp các yếu tố chứng minh danh tính. Để khi doanh nghiệp có thêm các yêu cầu khác và cải thiện năng lực quản lý thông tin thì họ có thể tiếp tục yêu cầu khách hàng cung cấp những yếu tố bảo mật bổ sung.

  Doanh nghiệp có thể tiến hành xác minh danh tính định kỳ đối với những khách hàng lâu năm hoặc khách hàng đang sử dụng dịch vụ. Gần đây, Liên minh châu Âu đã ban hành phương pháp xác thực nghiêm ngặt đối với khách hàng sử dụng Chỉ thị Dịch vụ Thanh Toán lần thứ hai (PSD2). Nhiều ngân hàng đã trải qua các chương trình xác thực quan trọng để đảm bảo số điện thoại họ sở hữu là chính xác, phục vụ việc xác định các yếu tố sở hữu cũng như lưu trữ dữ liệu sinh trắc học, để tiến tới thực hiện các biện pháp xác minh yếu tố đặc trưng của khách hàng.

  Khi việc lưu trữ càng nhiều dữ liệu xác minh danh tính khách hàng có thể là một ý tưởng haythì doanh nghiệp vẫn cần nguồn lực để có thể thực hiện điều này. Với mỗi dữ liệu ghi nhận, doanh nghiệp sẽ cần phải xử lý, bảo vệ dữ liệu cá nhân, và tuân thủ các yêu cầu pháp lý, pháp thể theo Quy định bảo vệ dữ liệu chung của EU (GDPR) hay Đạo luật bảo mật người tiêu dùng California (CCPA). Doanh nghiệp không nên xử lý những dữ liệu không cần thiết và nằm ngoài mục đích sử dụng đã kê khai. Tuy nhiên, họ cũng cần linh hoạt việc thực hiện nhiều biện pháp xác thực danh tính trong hầu hết các tình huống.

  Liên kết dữ liệu với hồ sơ người dùng

  Sau khi đã có trong tay dữ liệu, doanh nghiệp cần phải đảm bảo rằng chúng có liên quan đến các cá nhân cần xác thực. Trước kia, việc ràng buộc dữ liệu xác minh với người dùng thường liên quan tới các giao thức nhận diện danh tính cụ thể của chủ nhân thiết bị. Ngày nay, khái niệm ràng buộc dữ liệu có thể được mở rộng để bao hàm tất cả các yếu tố xác minh liên quan đến một danh tính và liên quan lẫn nhau.

  Điều này đặc biệt quan trọng khi cần thay đổi hay xác thực một yếu tố xác minh, ví dụ:
  - Khách hàng mua một chiếc điện thoại mới và đây là lần đầu tiên doanh nghiệp kết nối dịch vụ với điện thoại này. Nhiệm vụ cần làm bây giờ là phải xác thực đây chính xác là thiết bị của khách càng sớm càng tốt mà không làm gián đoạn công việc của họ. Trong trường hợp này, doanh nghiệp vốn đã kết nối dữ liệu dấu vân tay của khách hàng với danh tính của họ một cách an toàn và chắc chắn.Họ chỉ cần biết dấu vân tay được sử dụng trên thiết bị mới có phải là của chính khách hàng đó hay không, để từ đó có thể chắc chắn rằng chiếc điện thoại mới khả dụng cho việc liên kết với danh tính chủ nhân nó và có thể sử dụng được để chứng minh danh tính.
  - Bạn muốn thêm một yếu tố xác thực mới, ví dụ như sinh trắc học giọng nói. Khi muốn thêm yếu tố xác thực, doanh nghiệp cần đảm bảo rằng họ đang liên hệ với đúng khách hàng để lưu trữ dữ liệu giọng nói của họ. Doanh nghiệp có thể sử dụng các yếu tố xác thực khác liên quan tới danh tính của họ để xác minh.
  - Thiết bị của khách hàng sử dụng một thẻ SIM khác. Nếu thiết bị được ghi nhận trong hồ sơ khách hàng không có gì thay đổi thì doanh nghiệp có thể tin tưởng thẻ SIM mới. Nếu thiết bị cũng được thay đổi thì có nhiều khả năng đây là một vụ lừa đảo tráo đổi thẻ SIM.Lúc đó, doanh nghiệp cần ngăn chặn quyền truy cập ngay cũng như yêu cầu xác minh danh tính nhiều lớp hơn.

  Xác thực

  Để ngăn ngừa hành vi lừa đảo hoặc rửa tiền, các hoạt động trên tài khoản phải được đảm bảo với các biện pháp kiểm tra danh tính, bao gồm:
  - Các quy định luật lệ
  - Biện pháp xác minh và khả năng thực hiện biện pháp xác minh của khách hàng
  - Các yếu tố ngoại cảnh (ví dụ: mất tín hiệu điện thoại di động)
  - Kênh và thiết bị truy cập
  - Các loại rủi ro của tổ chức
  - Mức độ rủi ro hiện tại
  - Chi phí kiểm tra xác thực

  Một khi đã quản lý được biện pháp xác minh nào nên dùng trong trường hợp nào, thì cũng đồng nghĩa với việc doanh nghiệp không chỉ sở hữu những biện pháp xác minh phù hợp nhất mà còn có thể dễ dàng điều phối chúng một cách hợp lý. Những doanh nghiệp tiên tiến luôn dành ra thời gian và công sức để phát triển các giải pháp xác minh cho suốt các hoạt động của họ. Ví dụ, nếu một khách hàng vừa mới xác thực thành công bằng sinh trắc học ở kênh nàythì họ sẽ không phải bổ sung ngay liền các biện pháp xác minh ở các kênh khác.

  Xác thực liên tục

  Sau khi đã đảm bảo an toàn trong việc quản lý danh tính trong khâu mở tài khoản và khi thực hiện các hành động như đăng nhập hoặc thay đổi thông tin tài khoản, doanh nghiệp cũng cần quan tâm tới vấn đề bảo mật trong phiên sử dụng. Ví dụ, một khi khách hàng đã đăng nhập vào tài khoản, doanh nghiệp có thể làm gì để đảm bảo rằng phiên sử dụng đó không được thực hiện bởi một đối tượng khác? Tương tự, nếu dấu hiệu lừa đảo không được phát hiện ở bước đăng nhập tài khoản thì doanh nghiệp có thể làm gì để nhận biết hành vi này trong phiên sử dụng?

  Nhận thức được những mối nguy này, các biện pháp xác minh chạy ngầm trong phiên sử dụng đã trở thành một lựa chọn mà trong đó phân tích hành vi là yếu tố then chốt. Nếu một kẻ lừa đảo sử dụng điện thoại di động và thực hiện các hành vi hoàn toàn khác biệt so với hành vi thông thường (có thể dự đoán được) của một khách hàng, hệ thống sẽ ngay lập tức kích hoạt các biện pháp ngăn chặn hoặc xử lý. Ví dụ như can thiệp vào phiên sử dụng và yêu cầu người dùng thực hiện các biện pháp xác minh danh tính bổ sung, hoặc gửi tin nhắn từ một kênh khác tới khách hàng để kiểm tra liệu họ có đang thực sự thực hiện phiên truy cập này hay không.

  Và cuối cùng…

  Nhiều tổ chức đang lựa chọn việc thực hiện dần dần cả sáu bước trên. Các đội nhóm khác nhau thường xuyên quản lý các dự án khác nhau và do vậy, công nghệ nền tảng được sử dụng trong mỗi bước cũng không thể được tích hợp. Hệ quả đi kèm đó là việc thiếu hiệu quả và thiếu chính xác.

  Sự xuất hiện của các nền tảng có khả năng quản lý hiệu quả tất cả các giai đoạn, mang đến nhiều lựa chọn phương pháp sinh trắc học và các phương pháp khác để quản lý danh tính đã giúp các tổ chức tài chính có được bước tiến vượt bậc trong việc xây dựng một giải pháp quản lý danh tính đồng bộ và hiệu quả hơn xuyên suốt vòng đời khách hàng.

  Đọc thêm một số tài liệu hướng dẫn của chúng tôi để biết thêm thông tin về quy trình tích hợp sinh trắc học nhằm đạt được một giải pháp toàn diện và tối ưu:

  Phần 1: Tiến bộ trong sinh trắc học – Các nguyên tắc trong sinh trắc học và các hành vi sinh trắc hcoj trong xác minh và xác thực danh tính.

  Phần 2: Ứng dụng sinh trắc học – Sự phát triển hay cuộc cải cách? Thực trạng ứng dụng sinh trắc học và sinh trắc học hành vi và sự phát triển của phương pháp này.

  Phần 3: Áp dụng sinh trắc học – Những trường hợp sử dụng sinh trắc học nào đang dành được sự chú ý và chúng sẽ hoạt động ra sao trong khuôn khổ quy tắc pháp luật?