Skip to content
Čeština
Vyzkoušejte zdarma
Skip to content
Čeština
Wypróbuj za darmo
Autenti / Blog / Jak vybrat systém pro ověřování totožnosti zákazníků – 7 klíčových kritérií
eID

Jak vybrat systém pro ověřování totožnosti zákazníků – 7 klíčových kritérií

Doba čtení:

17 min

Datum zveřejnění:

Systém dálkového ověřování totožnosti je služba SaaS, která umožňuje společnosti potvrdit totožnost zákazníka bez jeho fyzické přítomnosti - prostřednictvím internetu v reálném čase. Zákazník projde procesem ze svého telefonu nebo počítače; společnost obdrží výsledek spolu s důkazy, které prokazují jeho totožnost.

Zní to jednoduše. Problém je, že trh s těmito řešeními není homogenní a rozdíly mezi poskytovateli nejsou ve fázi demoverze zřejmé - projeví se až po implementaci. Jeden systém podporuje tři metody ověření, jiný osm. Jeden uchovává data v Polsku, jiný v globálním cloudu. Jeden se integruje za týden, u jiného stráví IT oddělení tři měsíce mapováním okrajových případů.

Tento článek vám pomůže sestavit seznam požadavků ještě předtím, než začnete jednat s dodavateli. Sedm kritérií a konkrétní otázky ke každému z nich.

Klíčová zjištění

  • Systém pro ověřování totožnosti (pro KYC) není obyčejný nástroj SaaS - dotýká se regulace (AML, eIDAS, RODO), citlivých údajů a procesu, který je kritický pro onboarding. Náprava chyby při výběru je nákladná.
  • Metody ověřování se liší v míře jistoty identity. Před vyhodnocením nabídek si stanovte požadovanou úroveň jistoty vyplývající z regulace nebo vlastní analýzy rizik.
  • Soulad s eIDAS není vždy vyžadován - pokud však váš proces vyžaduje vysokou úroveň jistoty nebo právní důsledky, je nezbytnou podmínkou.
  • Uzamčení dodavatele v KYC přichází v úvahu, když změna dodavatele vyžaduje úplné převyvinutí. Výběr agregační platformy pro více dodavatelů prostřednictvím jediného rozhraní API tento problém eliminuje.
  • Cena za ověření z nabídky není celkovým nákladem - IT integrace, údržba, podpora a případná migrace zvyšují TCO.
  • UX ověřovací cesty na straně koncového zákazníka má přímý dopad na míru dokončení při onboardingu. Před nákupem vždy testujte na skutečných uživatelích.
  • Pilotní testování na reálných datech před podpisem roční smlouvy je standardem - dodavatel, který to odmítá, je varovným signálem.

V čem se systém pro ověřování identity liší od typického nástroje B2B SaaS?

Systém pro ověřování identity zákazníků je jiný - a hůře nahraditelný než typický provozní nástroj - ze tří konkrétních důvodů.

Zaprvé se dotýká citlivých osobních údajů a podléhá regulaci - zákonu proti praní špinavých peněz, eIDAS, RODO a často i sektorovým požadavkům (FSA, předpisy o pojišťovnictví). Špatná volba představuje nejen provozní problém, ale i potenciální regulační riziko.

Za druhé, výsledkem ověření je právní důkaz. Zpráva o identifikaci může skončit ve spisu, v auditu regulátora nebo v soudním řízení. Na kvalitě a integritě tohoto dokumentu záleží.

Zatřetí, systém ověřování je hluboce provázán s procesem přijímání zákazníků. Změna dodavatele znamená technickou reintegraci, změnu uživatelské cesty a - pokud se při implementaci nikdo nepostaral o správnou architekturu - riziko výpadku.

Výběr dodavatele pro vzdálené ověřování totožnosti (pro postupy KYC) je proto rozhodnutí, kterému stojí za to věnovat čas na analýzu před podpisem smlouvy.

7 kritérií pro výběr systému pro ověřování totožnosti klienta

1. Dostupné metody ověřování a jejich úroveň spolehlivosti

Ne každá metoda ověřování poskytuje stejnou úroveň jistoty o totožnosti. Selfie s dokladem je něco jiného než kryptografické čtení NFC čipu z elektronické karty. Každá metoda má jiné technické požadavky na straně klienta, jinou dobu zpracování a jiné náklady.

Otázky pro poskytovatele:

  • Jaké metody jsou k dispozici - video ověření, elektronická karta, elektronické bankovnictví, mCitizen, kvalifikovaný podpis?
  • Jaká úroveň záruky (nízká, střední, vysoká podle eIDAS) je přiřazena každé metodě?
  • Lze zvolit metodu pro konkrétní proces nebo segment zákazníků?
  • Jsou metody na sobě nezávislé, nebo vyžadují sdružený nákup?


Praktické východisko: Nejprve určete požadovanou úroveň zajištění pro váš proces - ta vychází z předpisů nebo z vlastní analýzy rizik. Teprve poté ověřte, zda systém nabízí metody, které tuto úroveň splňují.

Podrobné srovnání metod dostupných na polském trhu naleznete v článku Metody ověřování totožnosti zákazníků: požadavky, pokyny a jakou metodu zvolit.

2 Soulad s předpisy a certifikáty

Při posuzování jakéhokoli dodavatele má manažer shody s předpisy jednu klíčovou otázku: "Budu schopen obhájit tuto volbu před regulátorem?". Odpověď neleží v prohlášeních dodavatele - leží v konkrétních dokumentech a datové architektuře.

Otázky pro dodavatele:

  • Je platforma v souladu se systémem eIDAS a polským zákonem AML 2018?
  • Kde jsou data fyzicky uložena - v Polsku, v EU, mimo EU?
  • Jaké certifikace má poskytovatel (ISO 27001, SOC 2, jiné)?
  • Obsahuje zpráva o ověření auditní stopu - kdo ověřoval, kdy, jakými metodami, s jakým výsledkem?
  • Je zpráva v právně účinné formě (např. opatřena razítkem a podpisem)? kvalifikovanou pečetí)?


Autenti eID v této oblasti funguje plně v souladu s eIDAS a RODO - údaje jsou zpracovávány a uchovávány v Evropě. Ověřovací zprávy jsou zabezpečeny kvalifikovanou elektronickou pečetí Autenti, která jim dodává důkazní sílu v případě sporu nebo auditu.

Příklad z praxe: Společnost Grenke Polska, která zavádí dálkový leasingový onboarding v souladu s AML, výslovně zdůrazňuje, že dálková identifikace zákazníků "minimalizuje rizika společnosti" - právě proto, že každé ověření končí zdokumentovanou zprávou. Vyplatí se zeptat se dodavatele, jak taková zpráva vypadá a zda do ní můžete nahlédnout ještě před podpisem smlouvy.

3 Integrační model a riziko uzamčení dodavatele

Toto kritérium se nejčastěji přehlíží ve fázi výběru - a problémem se obvykle stává až po implementaci.

Vendor lock-in v kontextu KYC znamená, že změna poskytovatele ověření nebo přidání nové metody vyžaduje, aby se IT znovu plně integrovalo. Pokud jste se integrovali přímo s konkrétním poskytovatelem biometrických služeb a tento poskytovatel zvýší ceny, pozastaví poskytování služeb nebo odstoupí z vašeho trhu - uvíznete nebo zaplatíte za opětovnou integraci.

Otázky pro poskytovatele:

  • Je integrace prováděna prostřednictvím jediného rozhraní API, které umožňuje přístup k více metodám a poskytovatelům?
  • Vyžaduje přidání nové metody ověření novou technickou integraci?
  • Co se stane s ověřeními, když má jeden z dílčích dodavatelů (např. poskytovatel biometrických údajů) záložní řešení? Existuje automatická záložní varianta?
  • Je rozhraní API verzované a jaká je politika podpory starších verzí?


Autenti eID řeší tento problém prostřednictvím modelu hubu - integrace s jedním API umožňuje přístup k více poskytovatelům ověření (mimo jiné Identt, Veridas, Authologic). Pokud jeden z nich selže, lze systém přepnout na dalšího bez zásahu na straně klienta.

4 UX ověřovací cesty na straně koncového zákazníka

Dobrý systém není jen to, co vidíte v panelu správce. Důležitější je, co vidí zákazník během ověřování - a kolik z nich proces dokončí.

Společnosti často kupují systém s ohledem pouze na funkce a dodržování předpisů. Ignorují přitom UX. Výsledek: konverze v procesu onboardingu klesá, zákazníci opouštějí aplikaci v polovině, podpora dostává oznámení "ověření nefunguje".

Otázky pro poskytovatele:

  • Kolik kroků vyžaduje ověření pro koncového zákazníka?
  • Funguje na mobilních zařízeních bez nutnosti instalace aplikace?
  • Jaká je průměrná doba dokončení ověření?
  • Sdílí poskytovatel údaje o míře dokončení u nasazení u jiných zákazníků?
  • Je rozhraní vizuálně přizpůsobitelné (bílý štítek, vlastní barvy, logo)?


Jeden test má větší hodnotu než hodina předváděcí akce: požádejte o sandbox a proveďte ověření sami na svém telefonu. Nejlépe požádejte několik lidí zvenčí - lidí, kteří nevědí, jak systém funguje.

Pro srovnání: BNP Paribas Leasing Solutions po zavedení vzdáleného ověřování dosáhla časů dokončení identifikace v řádu desítek sekund - s požadavky omezenými na občanský průkaz a kameru. Ověřování je k dispozici 24 hodin denně, 7 dní v týdnu bez přítomnosti zaměstnance na straně společnosti. Michal Porycki, generální ředitel TS ve společnosti BNP Paribas Leasing Solutions, k tomu říká: "

Společnost MHC Mobility, která v regionu střední a východní Evropy spravuje vozový park čítající více než 13 500 vozidel, zase po zavedení nového procesu podepisování smluv s ověřením totožnosti zaznamenala 90 % pozitivních ohlasů od zákazníků. To je údaj, který stojí za to požadovat od dodavatele při vyhodnocování nabídek: Jaká je skutečná míra dokončení a výsledky spokojenosti u zákazníků podobných vaší společnosti?

5 SLA, dostupnost a řešení incidentů

Ověřování totožnosti je často kritickou cestou při onboardingu. Hodinový výpadek ve špičce znamená ztracené požadavky, naštvané zákazníky a tlak na provozní oddělení.

Otázky pro dodavatele:

  • Jaká je garantovaná úroveň dostupnosti systému (SLA) - 99,9%? 99,95%? 99,99%?
  • Jaká je doba odezvy na kritický incident? Jak vypadá eskalace?
  • Zveřejňuje poskytovatel historii dostupnosti (stavovou stránku)?
  • Jaký je postup pro hlášení problémů - e-mail, vyhrazená podpora, Slack?


99,9% doba dostupnosti je 8,7 hodin nedostupnosti za rok. 99,99 % je 52 minut. U procesů s velkým objemem provozu je to rozdíl, na kterém záleží - vyplatí se ho před podpisem smlouvy převést do čísel.

6 Cenový model a celkové náklady na vlastnictví

Cena za ověření, kterou dodavatel uvádí, je často jen částí skutečných nákladů. Zbytek vyjde při implementaci nebo při první faktuře.

Otázky pro dodavatele:

  • Jaký je model účtování - za ověření, předplatné, smíšený model?
  • Zahrnuje cena všechny metody ověřování, nebo se každá účtuje zvlášť?
  • Jsou účtovány další poplatky za implementaci, technickou podporu, školení?
  • Jak se mění cena s růstem objemu - lineárně, degresivně, prahová hodnota?
  • Jsou účtovány poplatky za ukládání zpráv a dat?


Při porovnávání nabídek se vyplatí spočítat TCO (celkové náklady na vlastnictví) za 12 a 24 měsíců - včetně doby integrace IT, případných dalších licencí a nákladů na podporu.

7 Podpora implementace a dokumentace

Doba integrace do značné míry závisí na kvalitě dokumentace a dostupnosti podpory na straně dodavatele. Špatně zdokumentované API může změnit dvoutýdenní integraci na dvouměsíční ladění na hraně.

Otázky pro dodavatele:

  • Je dokumentace API veřejná a aktuální?
  • Je před podpisem smlouvy k dispozici testovací prostředí (sandbox)?
  • Jaká je průměrná doba do prvního volání pro novou integraci?
  • Kdo je na straně dodavatele během implementace - vyhrazený inženýr, obecná podpora, samostatně s dokumentací?
  • Nabízí dodavatel pilotní provoz na reálných datech před plnou implementací?

Na co si dát pozor u konkrétních odvětví

Tato kritéria jsou univerzální, ale jejich důležitost závisí na odvětví.

Finance a leasing - zde jsou nejpřísnější předpisy AML a FSA. Kritérium souladu s předpisy a auditní stopou má převažující váhu. Často je vyžadována vysoká míra jistoty identity, což omezuje dostupné metody na elektronické karty, elektronické bankovnictví nebo kvalifikované podpisy.

Elektronické obchodování a tržiště - objem ověřování je vysoký a tolerance zákazníků ke tření v procesu je nízká. Zde nejvíce záleží na UX a míře dokončení. Náklady na ověření při vysokých objemech silně ovlivňují ekonomiku.

Personalistika a nábor na dálku - procesy jsou méně regulované než v oblasti financí, ale roste tlak na ověřování totožnosti kandidátů najímaných na dálku. Klíčové je přizpůsobení metod různým zemím, pokud společnost provádí nábor mimo Polsko.

Najímání a sdílená ekonomika - vysoká fluktuace uživatelů a riziko podvodů. Důležitá je rychlost procesu na straně klienta a možnost opětovného ověření bez opětovného začlenění.

Kdy začít raději s pilotním projektem než s plnou implementací

Pokud je objem ověřování ve vaší společnosti zatím neznámý nebo se proces onboardingu teprve navrhuje - pilotní projekt před plnou integrací dává smysl.

Pilotáž umožňuje ověřit tři věci, které nelze posoudit z demoverze: skutečnou míru dokončení u vašich zákazníků, chování systému při okrajových případech specifických pro váš proces a skutečnou dobu odezvy API při zátěži.

Dobrý dodavatel umožní pilotáž na reálných datech s omezeným rozsahem. Pokud dodavatel odmítne sandbox nebo pilotní provoz před podpisem roční smlouvy - je to signál.

Nejčastější chyby při výběru systému pro ověřování identity

  1. Výběr podle ceny na jedno ověření. Nejlevnější varianta na jedno ověření může být nejdražší, pokud vezmeme v úvahu náklady na integraci, údržbu a případnou migraci. Záleží na TCO, nikoli na nabízené ceně.
  2. Žádný test UX na straně koncového zákazníka. Rozhodnutí se přijímá v zasedací místnosti na základě ukázek pro nákupčí - nikoliv pro ty, kteří ověření podstoupí. Výsledek: nižší míra dokončení, než se předpokládalo, vyšší pořizovací náklady, nespokojení zákazníci ve fázi registrace.
  3. Přehlížení problémů s uzamčením dodavatele. Přímá integrace s jedním poskytovatelem biometrických údajů nebo dokladů vypadá na první pohled jednoduše. Problém nastane, když dodavatel změní ceny, sníží dostupnost nebo ukončí činnost. Pak jsou náklady na změnu stejné jako náklady na novou implementaci.
  4. Podcenění požadavků na audit. Systém sice splňuje požadavky předpisů "na papíře", ale ověřovací zprávy nemají právně účinnou formu, chybí časové razítko a chybí podrobnosti o metodě a výsledku. Při prvním auditu nebo sporu se jedná o problém, který nelze rychle odstranit.

 

Více informací o chybách v celém procesu KYC: 5 nejčastějších chyb v procesu KYC a jak se jim vyhnout.

Často kladené otázky

Jaký je rozdíl mezi systémem ověřování totožnosti a poskytovatelem ověřování totožnosti?

Jde o společnost, která službu nabízí - může jít o online platformu, integraci API nebo model "on site". Systém ověření totožnosti je konkrétní software, kterým prochází cesta identifikace zákazníka. Někteří poskytovatelé nabízejí vlastní biometrické enginy, jiní agregují metody z více zdrojů prostřednictvím jediného rozhraní API. Při výběru je důležité pochopit, zda si kupujete přímý přístup k ověřovací metodě, nebo k orchestrační vrstvě, která spravuje více metod.

Kolik stojí implementace systému vzdáleného ověřování totožnosti?

Náklady závisí na zvolených metodách, objemu ověřování a modelu účtování. Typickým modelem je poplatek za ověření (od několika do několika desítek zlotých v závislosti na metodě a poskytovateli) plus volitelný poplatek za implementaci nebo předplatné. K celkovým nákladům je třeba připočítat dobu integrace IT, případnou údržbu a náklady na podporu.

Musí být systém ověřování totožnosti v souladu s eIDAS?

Ne každý proces vyžaduje shodu s eIDAS - záleží na požadované úrovni ověření a na odvětvových předpisech. Povinnost vyplývá z konkrétních právních předpisů: AML zákon ji ukládá povinným institucím, směrnice EU subjektům finančního trhu. Pokud však váš proces vyžaduje vysokou úroveň jistoty totožnosti nebo právních účinků (např. podpis smlouvy), je soulad s eIDAS nezbytnou podmínkou.

Jak dlouho trvá zavedení systému pro ověřování totožnosti na dálku?

Ne každá implementace vyžaduje integraci rozhraní API. Některé systémy pro ověřování totožnosti fungují prostřednictvím online panelu - v takovém modelu je doba uvedení na trh několik hodin po zřízení služby, bez zapojení IT. Při integraci přes API - s dobrou dokumentací a specializovanou podporou - se doba pohybuje od několika dnů (proof of concept nebo MVP) po několik týdnů (plná integrace s backoffice systémy a onboarding path). Hlavní proměnnou je složitost technického prostředí na straně klienta: počet systémů, které je třeba propojit, datový model, požadavky na rozhraní. Samotný ověřovací systém je jen zřídka úzkým místem.

Co je vendor lock-in v kontextu systémů pro ověřování totožnosti na dálku a jak se mu lze vyhnout?

Vendor lock-in nastává tehdy, když změna poskytovatele ověření vyžaduje kompletní technickou inovaci - nové API, nové testy, nové certifikace procesů. Tomu se lze vyhnout výběrem platformy, která sdružuje více poskytovatelů prostřednictvím jediného rozhraní API. V takové architektuře nevyžaduje změna nebo přidání ověřovací metody novou integraci - pouze změnu konfigurace.

Jaké předpisy by měly být použity pro zdůvodnění výběru systému KYC v rámci organizace?

V Polsku jsou klíčovými předpisy zákon o boji proti praní špinavých peněz a financování terorismu (AML) z roku 2018, nařízení eIDAS (EU 910/2014), RODO a odvětvové předpisy (směrnice EU pro banky, pojišťovny, investiční podniky). Při interní argumentaci je vhodné poukázat na konkrétní článek ukládající povinnost ověření a prokázat, že zvolený systém splňuje požadavky na úroveň zabezpečení a auditní stopu.

Další krok

Pokud jste ve fázi hodnocení řešení pro ověřování totožnosti na dálku a chcete porovnat své požadavky s nabídkou trhu, domluvte si bezplatnou konzultaci s odborníkem společnosti Autenti. Pomůžeme vám sestavit seznam požadavků a vyhodnotit vaše možnosti - bez ohledu na to, zda se nakonec rozhodnete pro společnost Autenti.

Mateusz Kościelak

Mateusz Kościelak má více než 10 let zkušeností v oblasti B2B prodeje a marketingu, se specializací na Enterprise B2B SaaS. Je všestranným marketerem (V-Shaped) se zkušenostmi v budování systémů generování leadů pomocí contentu, SEO a výkonnostního marketingu, se zaměřením na mezinárodní expanzi.