Skip to content
Slovenčina
Vyskúšajte zadarmo
Skip to content
Slovenčina
Wypróbuj za darmo
Autenti / Blog / Ako vybrať systém na diaľkovú overovanie totožnosti zákazníkov – 7 kritérií výberu
eID

Ako vybrať systém na diaľkovú overovanie totožnosti zákazníkov – 7 kritérií výberu

Čas čítania:

17 min

Dátum zverejnenia:

Systém diaľkového overovania totožnosti je služba SaaS, ktorá umožňuje spoločnosti potvrdiť totožnosť zákazníka bez jeho fyzickej prítomnosti - prostredníctvom internetu v reálnom čase. Zákazník prejde procesom zo svojho telefónu alebo počítača; spoločnosť dostane výsledok spolu s dôkazmi na preukázanie jeho totožnosti.

Znie to jednoducho. Problémom je, že trh s týmito riešeniami nie je homogénny a rozdiely medzi poskytovateľmi nie sú zrejmé v demonštračnej fáze - prejavia sa až po implementácii. Jeden systém podporuje tri metódy overovania, iný osem. Jeden uchováva údaje v Poľsku, iný v globálnom cloude. Jeden sa integruje za týždeň, s iným IT strávi tri mesiace mapovaním okrajových prípadov.

Tento článok vám pomôže zostaviť zoznam požiadaviek skôr, ako začnete rokovať s dodávateľmi. Sedem kritérií, konkrétne otázky pre každé z nich.

Kľúčové zistenia

  • Systém na overovanie totožnosti (pre KYC) nie je obyčajný nástroj SaaS - dotýka sa regulácie (AML, eIDAS, RODO), citlivých údajov a procesu, ktorý je rozhodujúci pre onboarding. Náprava chyby pri výbere je nákladná.
  • Metódy overovania sa líšia v miere istoty identity. Pred vyhodnotením ponúk určte požadovanú úroveň istoty vyplývajúcu z regulácie alebo vlastnej analýzy rizík.
  • Súlad s eIDAS sa nevyžaduje vždy - ak si však váš proces vyžaduje vysokú úroveň istoty alebo právne dôsledky, je nevyhnutnou podmienkou.
  • Uzamknutie dodávateľa v systéme KYC prichádza do úvahy, keď si zmena dodávateľa vyžaduje úplnú opätovnú inováciu. Výber agregačnej platformy pre viacerých dodávateľov prostredníctvom jedného rozhrania API tento problém eliminuje.
  • Cena za overenie z ponuky nepredstavuje celkové náklady - IT integrácia, údržba, podpora a prípadná migrácia zvyšujú TCO.
  • UX overovacej cesty na strane koncového zákazníka má priamy vplyv na mieru dokončenia v rámci onboardingu. Pred nákupom vždy testujte na skutočných používateľoch.
  • Pilotné testovanie na reálnych údajoch pred podpisom ročnej zmluvy je štandardom - dodávateľ, ktorý to odmieta, je varovným signálom.

Čím sa systém na overovanie totožnosti líši od typického nástroja B2B SaaS?

Systém overovania totožnosti zákazníkov je iný - a ťažšie nahraditeľný ako typický prevádzkový nástroj - z troch konkrétnych dôvodov.

Po prvé, dotýka sa citlivých osobných údajov a podlieha regulácii - zákonu o boji proti praniu špinavých peňazí, eIDAS, RODO a často aj sektorovým požiadavkám (FSA, predpisy o poisťovníctve). Zlý výber nepredstavuje len prevádzkový problém, ale aj potenciálne regulačné riziko.

Po druhé, výsledkom overovania je právny dôkaz. Správa o identifikácii môže skončiť v spise, pri kontrole regulátora alebo v súdnom konaní. Na kvalite a integrite tohto dokumentu záleží.

Po tretie, systém overovania je hlboko previazaný s procesom prijímania klientov. Zmena dodávateľa zahŕňa technickú reintegráciu, zmenu používateľskej cesty a - ak sa pri implementácii nikto nepostaral o správnu architektúru - riziko výpadku.

Preto je výber poskytovateľa na diaľkové overovanie totožnosti (pre postupy KYC) rozhodnutím, ktorému sa oplatí venovať čas na analýzu pred podpisom zmluvy.

7 kritérií pre výber systému na overovanie totožnosti klientov

1. Dostupné metódy overovania a ich úroveň zabezpečenia

Nie každá metóda overovania poskytuje rovnakú úroveň istoty o totožnosti. Selfie s dokladom je niečo iné ako kryptografické čítanie čipu NFC z elektronickej karty. Každá metóda má iné technické požiadavky na strane klienta, iný čas procesu a iné náklady.

Otázky pre poskytovateľa:

  • Aké metódy sú k dispozícii - overenie pomocou videa, elektronická karta, elektronické bankovníctvo, mCitizen, kvalifikovaný podpis?
  • Aká úroveň zabezpečenia (nízka, stredná, vysoká podľa eIDAS) je priradená každej metóde?
  • Je možné vybrať metódu pre konkrétny proces alebo segment zákazníkov?
  • Sú metódy navzájom nezávislé, alebo si vyžadujú nákup v balíku?


Praktické východisko: Najprv určte požadovanú úroveň zabezpečenia pre váš proces - tá vyplýva z predpisov alebo z vlastnej analýzy rizík. Až potom skontrolujte, či systém ponúka metódy, ktoré túto úroveň spĺňajú.

Podrobné porovnanie metód dostupných na poľskom trhu nájdete v článku Metódy overovania totožnosti zákazníka: požiadavky, pokyny a ktorú metódu si vybrať.

2 Zhoda s predpismi a certifikáty

Manažér pre dodržiavanie predpisov má pri posudzovaní každého dodávateľa jednu kľúčovú otázku: "Budem schopný obhájiť tento výber pred regulačným orgánom?". Odpoveď neleží vo vyhláseniach dodávateľa - spočíva v konkrétnych dokumentoch a architektúre údajov.

Otázky pre dodávateľa:

  • Je platforma v súlade so systémom eIDAS a poľským zákonom o boji proti praniu špinavých peňazí z roku 2018?
  • Kde sú údaje fyzicky uložené - v Poľsku, v EÚ, mimo EÚ?
  • Aké certifikáty má poskytovateľ (ISO 27001, SOC 2, iné)?
  • Obsahuje správa o overení auditný záznam - kto overoval, kedy, akými metódami, s akým výsledkom?
  • Je správa v právne účinnej forme (napr. s pečiatkou kvalifikovanou pečaťou)?


Spoločnosť Autenti eID v tejto oblasti pracuje v plnom súlade s eIDAS a RODO - údaje sa spracúvajú a uchovávajú v Európe. Overovacie správy sú zabezpečené kvalifikovanou elektronickou pečaťou spoločnosti Autenti, ktorá im dodáva dôkaznú silu v prípade sporu alebo auditu.

Príklad z praxe: Spoločnosť Grenke Polska, ktorá zaviedla diaľkovú identifikáciu lízingu v súlade s AML, výslovne zdôrazňuje, že diaľková identifikácia klientov "minimalizuje riziká spoločnosti" - práve preto, že každé overenie sa končí zdokumentovanou správou. Stojí za to opýtať sa dodávateľa, ako takáto správa vyzerá a či ju môžete vidieť pred podpisom zmluvy.

3 Integračný model a riziko uzamknutia dodávateľa

Toto kritérium sa najčastejšie prehliada vo fáze výberu - a zvyčajne sa stáva problémom po implementácii.

Uzamknutie dodávateľa v kontexte KYC znamená, že zmena poskytovateľa overovania alebo pridanie novej metódy si vyžaduje opätovnú úplnú integráciu IT. Ak ste sa integrovali priamo s konkrétnym poskytovateľom biometrických údajov a tento poskytovateľ zvýši ceny, pozastaví poskytovanie služieb alebo vypadne z vášho trhu - ste uviaznutí alebo platíte za opätovnú integráciu.

Otázky pre poskytovateľa:

  • Je integrácia realizovaná prostredníctvom jedného rozhrania API, ktoré poskytuje prístup k viacerým metódam a poskytovateľom?
  • Vyžaduje si pridanie novej metódy overovania novú technickú integráciu?
  • Čo sa stane s overeniami, keď má jeden z čiastkových dodávateľov (napr. poskytovateľ biometrických údajov) záložný variant? Existuje automatická záložná možnosť?
  • Je API verziované a aká je politika podpory starších verzií?


Autenti eID rieši tento problém prostredníctvom modelu hubu - integrácia s jedným API poskytuje prístup k viacerým poskytovateľom overovania (okrem iného Identt, Veridas, Authologic). Ak jeden z nich zlyhá, systém možno prepnúť na ďalšieho bez zásahu na strane klienta.

4 UX cesty overovania na strane koncového zákazníka

Dobrý systém nie je len to, čo vidíte v paneli administrátora. Dôležitejšie je, čo vidí zákazník počas overovania - a koľko z nich proces dokončí.

Spoločnosti často kupujú systém s pohľadom len na funkcie a dodržiavanie predpisov. Ignorujú pritom UX. Výsledok: konverzia v procese onboardingu klesá, zákazníci opúšťajú aplikáciu v polovici, podpora dostáva oznámenia "overenie nefunguje".

Otázky pre poskytovateľa:

  • Koľko krokov vyžaduje overenie pre koncového zákazníka?
  • Funguje na mobilných zariadeniach bez potreby inštalácie aplikácie?
  • Aký je priemerný čas dokončenia overovania?
  • Zdieľa poskytovateľ údaje o miere dokončenia pri nasadení u iných zákazníkov?
  • Dá sa rozhranie vizuálne prispôsobiť (biely štítok, vlastné farby, logo)?


Jeden test má väčšiu hodnotu ako hodina demonštrácie: požiadajte o sandbox a overenie vykonajte sami na svojom telefóne. Požiadajte o to najlepšie niekoľko ľudí zvonka - ľudí, ktorí nevedia, ako systém funguje.

Na porovnanie: BNP Paribas Leasing Solutions po zavedení vzdialeného overovania dosiahla časy dokončenia identifikácie v rádoch desiatok sekúnd - s požiadavkami obmedzenými na občiansky preukaz a kameru. Overovanie je k dispozícii 24 hodín denne, 7 dní v týždni bez prítomnosti zamestnanca na strane spoločnosti. Michal Porycki, výkonný riaditeľ TS v spoločnosti BNP Paribas Leasing Solutions, k tomu uvádza: "

Spoločnosť MHC Mobility, ktorá v regióne strednej a východnej Európy spravuje vozový park s viac ako 13 500 vozidlami, zasa po implementácii nového procesu podpisovania zmlúv s overovaním totožnosti získala 90 % pozitívnych ohlasov od zákazníkov. To je údaj, ktorý sa oplatí vyžadovať od dodávateľa pri vyhodnocovaní ponúk: aká je skutočná miera dokončenia a výsledky spokojnosti u zákazníkov podobných vašej spoločnosti?

5 SLA, dostupnosť a riešenie incidentov

Overenie totožnosti je často kritickou cestou pri vstupe do systému. Zlyhanie v špičkovej hodine znamená stratené požiadavky, rozrušených zákazníkov a tlak na prevádzkové oddelenie.

Otázky pre dodávateľa:

  • Aká je garantovaná úroveň dostupnosti systému (SLA) - 99,9 %? 99,95%? 99,99%?
  • Aký je čas odozvy na kritický incident? Ako vyzerá eskalácia?
  • Zverejňuje poskytovateľ históriu dostupnosti (stavovú stránku)?
  • Aký je postup pri nahlasovaní problémov - e-mail, špecializovaná podpora, Slack?


99,9 % doba dostupnosti je 8,7 hodiny nedostupnosti za rok. 99,99 % je 52 minút. Pri veľkoobjemových procesoch je to rozdiel, na ktorom záleží - pred podpisom zmluvy sa ho oplatí prepočítať na čísla.

6 Cenový model a celkové náklady na vlastníctvo

Cena za overenie, ktorú dodávateľ uvádza, je často len časťou skutočných nákladov. Zvyšok vyjde pri implementácii alebo pri prvej faktúre.

Otázky pre dodávateľa:

  • Aký je model účtovania - za overenie, predplatné, zmiešaný model?
  • Zahŕňa cena všetky metódy overovania alebo sa každá účtuje samostatne?
  • Existujú ďalšie poplatky za implementáciu, technickú podporu, školenie?
  • Ako sa mení cena s rastom objemu - lineárne, degresívne, prahové?
  • Sú účtované poplatky za uchovávanie správ a údajov?


Pri porovnávaní ponúk sa oplatí vypočítať TCO (celkové náklady na vlastníctvo) po 12 a 24 mesiacoch - vrátane času na integráciu IT, akýchkoľvek dodatočných licencií a nákladov na podporu.

7 Podpora pri implementácii a dokumentácia

Čas integrácie do veľkej miery závisí od kvality dokumentácie a dostupnosti podpory na strane dodávateľa. Zle zdokumentované API môže zmeniť 2-týždňovú integráciu na 2 mesiace ladenia na hrane.

Otázky pre dodávateľa:

  • Je dokumentácia API verejná a aktuálna?
  • Je pred podpisom zmluvy k dispozícii testovacie prostredie (sandbox)?
  • Aký je priemerný čas do prvého volania pre novú integráciu?
  • Kto je na strane dodávateľa počas implementácie - špecializovaný inžinier, všeobecná podpora, samostatne s dokumentáciou?
  • Ponúka dodávateľ pilotný projekt na reálnych údajoch pred úplnou implementáciou?

Na čo si treba dávať pozor pri konkrétnych odvetviach

Kritériá sú univerzálne, ale ich dôležitosť závisí od odvetvia.

Financie a lízing - predpisy AML a FSA sú tu najprísnejšie. Kritérium súladu s predpismi a audit trail má prevažujúcu váhu. Často sa vyžaduje vysoká miera istoty identity, čo obmedzuje dostupné metódy na elektronickú kartu, elektronické bankovníctvo alebo kvalifikované podpisy.

Elektronický obchod a trhoviská - objem overovania je vysoký a tolerancia zákazníkov voči treniu v procese je nízka. Tu najviac záleží na UX a miere dokončenia. Náklady na overenie pri vysokých objemoch výrazne ovplyvňujú ekonomiku.

Ľudské zdroje a nábor zamestnancov na diaľku - procesy sú menej regulované ako v oblasti financií, ale rastie tlak na overovanie totožnosti kandidátov prijímaných na diaľku. Zosúladenie metód s rôznymi krajinami je kľúčové, ak spoločnosť uskutočňuje nábor mimo Poľska.

Prenájom a zdieľaná ekonomika - vysoká fluktuácia používateľov a riziko podvodov. Dôležitá je rýchlosť procesu na strane klienta a možnosť opätovného overenia bez opätovnej integrácie.

Kedy začať s pilotným projektom namiesto úplnej implementácie

Ak objem overovania vo vašej spoločnosti ešte nie je známy alebo sa proces onboardingu ešte len navrhuje - pilotný projekt pred úplnou integráciou má zmysel.

Pilotný projekt vám umožní overiť tri veci, ktoré sa nedajú posúdiť z ukážky: skutočnú mieru dokončenia na vašich zákazníkoch, správanie systému s okrajovými prípadmi špecifickými pre váš proces a skutočné časy odozvy API pri záťaži.

Dobrý dodávateľ umožní pilotovanie na reálnych údajoch s obmedzeným rozsahom. Ak dodávateľ odmietne sandbox alebo pilotovanie pred podpisom ročnej zmluvy - je to signál.

Najčastejšie chyby pri výbere systému na overovanie totožnosti

  1. Výber podľa ceny na jedno overenie. Najlacnejšia možnosť na jedno overenie môže byť najdrahšia, keď zvážite náklady na integráciu, údržbu a prípadnú migráciu. Dôležité je TCO, nie ponúkaná cena.
  2. Žiadny test UX na strane koncového zákazníka. Rozhodnutie sa prijíma v zasadačke na základe ukážok pre nákupcov - nie pre tých, ktorí budú overovanie podstupovať. Výsledok: nižšia miera dokončenia, ako sa očakávalo, vyššie náklady na akvizíciu, nespokojní zákazníci vo fáze registrácie.
  3. Prehliadanie problémov s uzamknutím dodávateľa. Priama integrácia s jedným poskytovateľom biometrických údajov alebo dokladov vyzerá na prvý pohľad jednoducho. Problém nastane, keď dodávateľ zmení ceny, zníži dostupnosť alebo ukončí činnosť. Vtedy sú náklady na zmenu rovnaké ako náklady na novú implementáciu.
  4. Podcenenie požiadaviek na audit. Systém spĺňa regulačné požiadavky "na papieri", ale správy o overení nemajú právne účinnú formu, chýbajú časové pečiatky a podrobnosti o metóde a výsledku. Pri prvom audite alebo spore ide o problém, ktorý sa nedá rýchlo odstrániť.

 

Viac o chybách v celom procese KYC:  5 najčastejších chýb v procese KYC a ako sa im vyhnúť.

Často kladené otázky

Aký je rozdiel medzi systémom overovania totožnosti a poskytovateľom overovania totožnosti?

Ide o spoločnosť, ktorá službu ponúka - môže to byť online platforma, integrácia API alebo model "na mieste". Systém overovania je konkrétny softvér, cez ktorý prechádza cesta identifikácie zákazníka. Niektorí poskytovatelia ponúkajú vlastné biometrické motory, niektorí agregujú metódy z viacerých zdrojov prostredníctvom jedného API. Pri výbere je dôležité pochopiť, či si kupujete priamy prístup k overovacej metóde alebo k orchestračnej vrstve, ktorá spravuje viacero metód.

Koľko stojí implementácia systému overovania totožnosti na diaľku?

Náklady závisia od zvolených metód, objemu overovania a modelu účtovania. Typickým modelom je poplatok za overenie (od niekoľkých do niekoľkých desiatok zlotých v závislosti od metódy a poskytovateľa) plus voliteľný poplatok za implementáciu alebo predplatné. K celkovým nákladom by sa mal pripočítať čas na integráciu IT, prípadné náklady na údržbu a podporu.

Musí byť systém overovania totožnosti v súlade so systémom eIDAS?

Nie každý proces si vyžaduje súlad so systémom eIDAS - závisí to od požadovanej úrovne zabezpečenia a sektorových predpisov. Povinnosť vyplýva z osobitných právnych predpisov: zákon o boji proti praniu špinavých peňazí ju ukladá povinným inštitúciám, smernice EÚ subjektom finančného trhu. Ak si však váš proces vyžaduje vysokú úroveň istoty o totožnosti alebo právnych účinkoch (napr. podpis zmluvy), súlad s eIDAS je nevyhnutnou podmienkou.

Ako dlho trvá zavedenie systému na diaľkové overovanie totožnosti?

Nie každá implementácia si vyžaduje integráciu API. Niektoré systémy na overovanie totožnosti fungujú prostredníctvom online panelu - v takomto modeli je čas uvedenia na trh niekoľko hodín po zriadení služby bez zapojenia IT. Pri integrácii prostredníctvom API - s dobrou dokumentáciou a špecializovanou podporou - sa čas pohybuje od niekoľkých dní (overenie konceptu alebo MVP) po niekoľko týždňov (úplná integrácia so systémami backoffice a cesta k nástupu). Hlavnou premennou je zložitosť technického prostredia na strane klienta: počet systémov, ktoré treba pripojiť, dátový model, požiadavky na rozhranie. Samotný systém overovania je len zriedka úzkym miestom.

Čo je vendor lock-in v kontexte systémov overovania totožnosti na diaľku a ako sa mu dá vyhnúť?

K uzamknutiu dodávateľa dochádza vtedy, keď si zmena poskytovateľa overovania vyžaduje úplnú technickú inováciu - nové API, nové testy, nové certifikácie procesov. Dá sa mu predísť výberom platformy, ktorá združuje viacerých poskytovateľov prostredníctvom jedného API. V takejto architektúre si zmena alebo pridanie metódy overovania nevyžaduje novú integráciu - stačí zmena konfigurácie.

Na aké predpisy by sa mal odvolávať výber systému KYC v rámci organizácie?

V Poľsku sú kľúčovými zákonmi zákon o boji proti praniu špinavých peňazí a financovaniu terorizmu (AML) z roku 2018, nariadenie eIDAS (EÚ 910/2014), RODO a sektorové nariadenia (smernice EÚ pre banky, poisťovne, investičné spoločnosti). Pri internej argumentácii je vhodné poukázať na konkrétny článok, ktorý ukladá povinnosť overovania, a preukázať, že zvolený systém spĺňa požiadavky na úroveň zabezpečenia a audit trail.

Ďalší krok

Ak ste vo fáze hodnotenia riešení na diaľkové overovanie totožnosti a chcete porovnať svoje požiadavky s ponukou trhu, dohodnite si bezplatnú konzultáciu s odborníkom spoločnosti Autenti. Pomôžeme vám zostaviť zoznam požiadaviek a zhodnotiť vaše možnosti - bez ohľadu na to, či sa nakoniec rozhodnete pre spoločnosť Autenti.

Mateusz Kościelak

Mateusz Kościelak má viac ako 10-ročné skúsenosti v oblasti predaja a B2B marketingu, so špecializáciou na Enterprise B2B SaaS. Je všestranným marketérom (V-Shaped) so skúsenosťami v budovaní systémov generovania leadov pomocou obsahu, SEO a výkonnostného marketingu, so zameraním na medzinárodnú expanziu.