O espectro da garantia de identidade

No cenário digital atual, as organizações enfrentam o desafio crítico de garantir que os usuários on-line sejam realmente quem dizem ser. Processos robustos de verificação de identidade são essenciais em todos os setores para evitar fraudes, proteger dados confidenciais e manter a integridade do ecossistema digital.


Para enfrentar esses desafios, desenvolvemos a série Spectrum of Identity Assurance, composta de três partes. Esse guia abrangente fornece insights para ajudar as organizações a selecionar os níveis de garantia adequados para vários casos de uso ao projetar e implementar processos de verificação de identidade.

Ao compreender o espectro da garantia de identidade, as empresas podem encontrar o equilíbrio certo entre segurança, usabilidade e conformidade, promovendo a confiança do usuário e reduzindo os riscos de fraude de identidade.

Faça o download da série de relatórios The Spectrum Of Identity Assurance

Esse guia abrangente está dividido em três documentos para download, cada um focado em um aspecto crucial do cenário de verificação de identidade:

SoDI paper 1 FINAL

Documento 1: Espectro da comprovação de identidade

Este documento se concentra no estabelecimento inicial de confiança durante o processo de integração e explora os vários métodos e tecnologias disponíveis para comprovação remota de identidade, incluindo verificação de banco de dados, verificação biométrica e verificação de documentos. Ele discute os pontos fortes e as limitações de cada abordagem e fornece orientação sobre como selecionar o nível adequado de garantia com base no caso de uso específico e no perfil de risco. Clique no botão abaixo para fazer o download.

Baixar

Espectro de autenticação

Com base no fundamento da comprovação de identidade, este documento investiga a autenticação contínua dos usuários em toda a sua jornada com uma organização. Ele examina os diferentes fatores de autenticação, como os baseados em conhecimento, posse e herança, e discute como eles podem ser combinados para criar esquemas de autenticação fortes e resilientes. O documento também explora tecnologias emergentes, como a autenticação sem senha e a autenticação contínua, e seu potencial para aprimorar a segurança e a experiência do usuário.

Em breve...

Espectro da biometria

O último artigo da série aprofunda-se no uso de tecnologias biométricas para verificação e autenticação de identidade. Ele examina várias modalidades biométricas, incluindo biometria facial, de impressão digital e da palma da mão, e discute seus pontos fortes, limitações e possíveis aplicações. O documento também aborda considerações importantes sobre seu desenvolvimento, implantação, privacidade de dados, segurança e aceitação do usuário.

Em breve...

Ao compreender o espectro desses três documentos, as organizações podem tomar decisões bem informadas ao projetar e implementar processos de verificação de identidade seguros e fáceis de usar, adaptados às suas necessidades específicas.

Centro de conteúdo do Spectrum of Identity Assurance: Sobre o que é esta página?

Embora a série de três partes do documento Spectrum of Identity Assurance forneça uma visão geral abrangente, alguns tópicos técnicos exigem uma exploração mais aprofundada. Para garantir a amplitude e a profundidade da cobertura, criamos esta página da Web dedicada.

Aqui, você encontrará seções expandidas que se aprofundam nos detalhes e nuances intrincados de várias tecnologias, métodos e processos de verificação de identidade. Isso nos permite oferecer um recurso completo, porém acessível, dando a você a opção de ler os conceitos de alto nível nos documentos principais ou explorar os pontos técnicos mais refinados, conforme necessário.

Nesta página, você pode esperar encontrar análises detalhadas, exemplos ilustrativos e análises mais aprofundadas. Para explorar um tópico específico em detalhes, basta selecioná-lo nas opções abaixo para revelar as informações.

Tópicos do Paper 1 (Espectro de garantia de identidade)

O que é comprovação de identidade?

Comprovação de identidade é o processo de estabelecer e verificar a identidade de um indivíduo, garantindo que ele seja quem diz ser. Ela envolve a coleta e a avaliação de várias evidências, como documentos de identificação emitidos pelo governo, dados biométricos ou informações pessoais, para determinar a autenticidade e a legitimidade da identidade reivindicada. O objetivo da comprovação de identidade é reduzir o risco de fraude, impedir o acesso não autorizado a informações ou sistemas confidenciais e estabelecer um vínculo confiável entre uma identidade do mundo real e uma pessoa digital ou on-line. A comprovação de identidade é uma etapa crucial em muitos processos de integração, especialmente em setores com requisitos regulatórios rigorosos, como serviços financeiros, saúde e governo.

O que é verificação de identidade?

A verificação de identidade é o ato de confirmar que um indivíduo é de fato quem ele afirma ser. É um subconjunto do processo de comprovação de identidade e se concentra na validação das informações fornecidas pelo indivíduo em relação a fontes confiáveis e autorizadas. É um subconjunto do processo de comprovação de identidade e se concentra na validação das informações fornecidas pelo indivíduo em relação a fontes confiáveis e autorizadas. A verificação de identidade envolve a verificação da autenticidade e da validade dos documentos de identidade, a comparação de dados biométricos ou a verificação de informações pessoais em bancos de dados confiáveis. O objetivo da verificação de identidade é garantir que a identidade reivindicada seja genuína, atualizada e pertença à pessoa que a apresenta. Esse processo ajuda a evitar fraudes de identidade, acesso não autorizado e outros riscos de segurança associados a identidades falsas ou roubadas. A verificação de identidade é um componente essencial de vários processos comerciais, como a integração de clientes, o controle de acesso e a autenticação de transações.

O que é integração remota?

A integração remota refere-se ao processo de registro e integração de um novo usuário, cliente ou funcionário nos sistemas e serviços de uma organização sem exigir sua presença física. Ele permite que os indivíduos concluam as etapas necessárias de registro, autenticação e verificação remotamente, geralmente por meio de canais digitais, como sites, aplicativos móveis ou videoconferência. A integração remota ganhou importância significativa nos últimos anos, impulsionada pela crescente digitalização dos serviços e pela necessidade de soluções convenientes e acessíveis. Ela permite que as organizações expandam seu alcance, melhorem a experiência do usuário e otimizem seus processos de integração. No entanto, a integração remota também apresenta desafios únicos, principalmente em termos de comprovação e verificação de identidade, pois depende de métodos digitais para estabelecer confiança e reduzir os riscos de fraude. As organizações devem implementar soluções robustas de integração remota que equilibrem segurança, conformidade e experiência do usuário para garantir a integridade e a confiabilidade do processo.

Obtenção de evidências

Essa etapa envolve a coleta de evidências relevantes do indivíduo para apoiar sua identidade reivindicada. As evidências podem incluir documentos emitidos pelo governo, como passaportes ou carteiras de motorista, bem como evidências digitais, como contas de serviços públicos ou extratos bancários.

Verificação da validade da evidência

Depois que a evidência é obtida, ela deve ser validada para garantir sua genuinidade e autenticidade. Isso envolve o exame dos recursos de segurança dos documentos físicos, a verificação da integridade das evidências digitais e a verificação de fontes confiáveis quanto a documentos perdidos, roubados ou vencidos.

Confirmação da existência da identidade reivindicada ao longo do tempo

Para reduzir o risco de identidades sintéticas, as organizações devem confirmar que a identidade reivindicada existiu durante um período de tempo. Isso pode ser feito verificando o histórico de interações com outras organizações ou por meio da análise de pegadas eletrônicas.


Validação de banco de dados (segurança média-alta)

  • Exemplo: Durante o processo de integração de um serviço financeiro, as informações fornecidas pelo usuário, como nome, endereço e data de nascimento, são cruzadas com bancos de dados confiáveis, como agências de crédito, registros governamentais e fornecedores de serviços públicos. O sistema valida a precisão e a consistência das informações em várias fontes para estabelecer a existência da identidade.
  • Segurança - Banco de dados médio A validação de banco de dados oferece um nível médio de segurança, validando as informações do usuário com fontes confiáveis de terceiros. Ela pode ser realizada totalmente on-line, simplificando o processo de comprovação de identidade e reduzindo a intervenção manual. Quando combinada com outros métodos de verificação, ela oferece uma visão abrangente da identidade de um indivíduo.
  • Usabilidade - Alta (para usuários com histórico de crédito/digital estabelecido) No entanto, a validação do banco de dados pode não ser adequada para usuários com histórico de crédito ou pegada digital limitados, como indivíduos mais jovens ou imigrantes recentes. Sua eficácia depende da precisão e da segurança dos bancos de dados acessados, e dados incompletos, desatualizados ou comprometidos podem levar a falsas rejeições ou a possíveis fraudes de identidade.

Verificação biométrica (segurança média-alta)

  • Exemplos: Facial (Alta), digitalização de impressões digitais (Alta) Durante o processo de integração de um aplicativo bancário móvel, o usuário é solicitado a tirar uma selfie e capturar uma foto de seu documento de identidade emitido pelo governo. O aplicativo usa a biometria facial para fazer a correspondência entre a selfie do usuário e a foto do documento de identidade para verificar sua identidade. Embora a verificação biométrica possa ser feita com o uso de impressões digitais, esse método não é amplamente utilizado, pois as impressões digitais não são predominantes como comparador. Por exemplo, em um passaporte biométrico, as impressões digitais não estão presentes ou são armazenadas em um local acessível apenas ao governo. Portanto, a biometria facial é considerada a modalidade biométrica mais acessível e conveniente.
  • Estabelece um forte vínculo entre uma identidade real e uma identidade digital - essencial para carteiras de habilitação móveis (mDLs) e identidades eletrônicas (eID), bem como carteiras móveis.
  • Os níveis de garantia variam de acordo com a tecnologia e as medidas anti-spoofing
  • Usabilidade - Alta

Verificação de documentos (segurança média-alta)

  • Exemplos: Verificação baseada em NFC de passaportes eletrônicos e verificação óptica de documentos de identidade. Uma instituição financeira exige que os novos clientes forneçam uma cópia de seu documento de identidade emitido pelo governo (por exemplo, passaporte ou carteira de motorista) durante o processo de integração. A instituição usa tecnologia automatizada de verificação de documentos para checar a autenticidade e a validade do documento de identidade.
  • Oferece um alto nível de garantia ao verificar a autenticidade de documentos emitidos pelo governo
  • A adoção varia de acordo com a região geográfica, com base nos recursos de segurança do documento (por exemplo, disponibilidade de NFC)
  • Usabilidade - Média

Mais informações sobre OCR e NFC

Reconhecimento óptico de caracteres (OCR):

  • Nível de segurança: Baixo a médio - O OCR pode automatizar o processo de extração de texto de imagens capturadas de documentos de identidade. Sua precisão e confiabilidade dependem de vários fatores. A qualidade da imagem capturada desempenha um papel crucial no sucesso do OCR. Imagens de baixa qualidade, como aquelas com pouca iluminação, borrões ou reflexos, podem afetar significativamente a precisão do texto extraído. Além disso, o OCR pode ter dificuldades com fontes, estilos de caligrafia ou idiomas diferentes, o que pode gerar erros ou imprecisões nos dados extraídos. Essas limitações podem resultar em falsos positivos ou falsos negativos durante o processo de verificação de identidade, comprometendo a segurança geral.
  • A tecnologia de OCR, por si só, não verifica a autenticidade ou a integridade do documento de identidade em si. Ela simplesmente extrai o texto da imagem sem avaliar os recursos de segurança do documento ou detectar possíveis falsificações. Portanto, ela deve ser usada em conjunto com outros métodos de verificação, como técnicas de autenticação de documentos ou comparação biométrica, para aumentar a segurança geral do processo de verificação de identidade.
  • Acessibilidade e inclusão: Alta - O OCR pode ser executado em uma ampla variedade de documentos de identidade, incluindo passaportes, carteiras de motorista, carteiras de identidade nacionais e outras identificações emitidas pelo governo. Essa versatilidade torna o OCR acessível aos usuários com vários tipos de identificação, independentemente de seu país de origem ou do tipo específico de documento que possuem.
  • O OCR não exige hardware ou equipamento especializado, o que o torna altamente acessível a uma ampla base de usuários. Ele pode ser facilmente integrado a aplicativos móveis ou plataformas baseadas na Web, permitindo que os usuários capturem imagens de seus documentos de identidade usando as câmeras ou scanners de seus smartphones. Isso elimina a necessidade de os usuários apresentarem fisicamente seus documentos ou visitarem um local específico para verificação, aumentando a conveniência e a acessibilidade do processo. O OCR é realizado com luz natural, embora a verificação de documentos com equipamento especializado em um local físico possa suportar verificações com três luzes, o que não é possível com um smartphone.

Leitura de chip de comunicação de campo próximo (NFC):

  • Nível de segurança: alto - Os passaportes modernos e algumas carteiras de identidade nacionais são equipados com chips NFC incorporados que armazenam dados assinados criptograficamente. Esses dados normalmente incluem informações pessoais do titular do documento, dados biométricos (como uma imagem facial ou impressões digitais) e recursos de segurança digital. A assinatura criptográfica dos dados garante sua integridade e autenticidade, tornando-os altamente resistentes a tentativas de adulteração ou falsificação.
  • Quando um dispositivo habilitado para NFC, como um smartphone ou um leitor de NFC dedicado, é colocado próximo ao chip de NFC do documento, ele pode ler com segurança os dados armazenados. O dispositivo pode, então, verificar a assinatura criptográfica usando os certificados digitais da autoridade emissora, garantindo que os dados tenham sido originados de uma fonte confiável e não tenham sido alterados. Esse processo oferece uma forte garantia da autenticidade do documento e da identidade do titular do documento.
  • A leitura do chip NFC também permite a verificação de recursos de segurança adicionais, como a autenticação ativa, que prova que o próprio chip é genuíno e não uma cópia clonada. Isso aumenta ainda mais a segurança do processo de verificação de identidade, tornando extremamente difícil para os fraudadores criar documentos falsificados com chips NFC funcionais.
  • Acessibilidade e inclusão: Baixa a média - Embora a leitura de chips NFC ofereça um alto nível de segurança, sua acessibilidade e inclusão podem ser limitadas devido a vários fatores. Uma das principais restrições é a necessidade de hardware especializado para ler chips NFC. Nem todos os smartphones ou dispositivos estão equipados com recursos de NFC, e os leitores de NFC dedicados podem não estar amplamente disponíveis ou acessíveis a todos os usuários. Isso limita a acessibilidade da verificação de identidade baseada em NFC àqueles que possuem dispositivos compatíveis ou têm acesso ao hardware necessário.
  • Além disso, a adoção de chips NFC em documentos de identidade varia entre países e regiões. Embora alguns países, como muitas nações europeias, tenham implementado totalmente os chips NFC em seus passaportes e carteiras de identidade nacionais, outros ainda não adotaram essa tecnologia. Essa falta de padronização limita a acessibilidade global e a inclusão da verificação de identidade baseada em NFC.

  • Avaliação de riscos: Isso envolve a avaliação dos possíveis riscos e impactos da fraude de identidade para cada caso de uso específico. Ao compreender o nível de risco associado a diferentes cenários, as organizações podem tomar decisões informadas sobre o nível de garantia necessário para mitigar esses riscos de forma eficaz.
  • Conformidade regulatória: Muitos setores, como o de serviços financeiros, têm normas e diretrizes rígidas que devem ser seguidas, como os requisitos de Know Your Customer (KYC) e Anti-Money Laundering (AML). As organizações devem garantir que o nível de garantia escolhido atenda ou exceda esses padrões normativos para evitar possíveis repercussões legais e financeiras.
  • Experiência do usuário: Embora a implementação de altos níveis de garantia seja essencial para fins de segurança, é igualmente importante equilibrar isso com a usabilidade e a demografia do usuário. Uma solução que seja muito complicada ou demorada pode levar à frustração e ao abandono do usuário. Portanto, as organizações devem se esforçar para encontrar um nível de garantia que ofereça segurança robusta e, ao mesmo tempo, minimize o atrito e incentive a adoção pelo usuário.
  • Implicações de custo de implementação e manutenção: Níveis mais altos de garantia geralmente exigem tecnologias mais avançadas, hardware especializado e manutenção contínua, o que pode resultar em aumento de custos. As organizações devem avaliar cuidadosamente a implementação e os custos contínuos associados a cada nível de garantia e compará-los com os benefícios e a redução de riscos que eles proporcionam.

Verificação de autenticação bancária

  • A verificação de autenticação bancária, também conhecida como verificação de conta bancária ou autenticação de conta bancária, é um processo que confirma a propriedade e a validade da conta bancária de um usuário. Normalmente, esse método envolve o fornecimento pelo usuário de suas credenciais bancárias on-line ou detalhes da conta, que são verificados com segurança pelo respectivo banco. A verificação de autenticação bancária oferece um alto nível de garantia, pois estabelece um forte vínculo entre a identidade do usuário e sua instituição financeira.
  • Uma das principais vantagens da verificação de autenticação bancária é sua capacidade de aproveitar a confiança existente e as medidas de segurança implementadas pelos bancos. As instituições financeiras têm procedimentos rigorosos de Know Your Customer (KYC) e Anti-Money Laundering (AML) em vigor, o que significa que uma verificação bem-sucedida do Bank Auth pode proporcionar um alto grau de confiança na identidade do usuário. Além disso, esse método pode ser realizado totalmente on-line, o que o torna conveniente para os usuários e reduz o atrito no processo de comprovação de identidade.
  • No entanto, a verificação do Bank Auth também tem suas limitações. Alguns usuários podem hesitar em compartilhar suas credenciais bancárias on-line devido a preocupações com a segurança, o que pode levar à desistência do usuário. Além disso, o sucesso desse método depende de o usuário ter uma conta bancária existente e da disposição do banco em participar do processo de verificação. Apesar desses desafios, a verificação do Bank Auth continua sendo uma ferramenta valiosa no ecossistema de prova de identidade, especialmente quando usada em conjunto com outros métodos de verificação para criar uma abordagem robusta e de várias camadas para a garantia de identidade.

GIdentidade emitida pelo governo

<<< Diagram of the below >>>

  • Nível de segurança: alto - A verificação das informações fornecidas pelo usuário em bancos de dados de identidade emitidos pelo governo, como os mantidos pelo Department of Motor Vehicles (DMV) ou pela Social Security Administration (SSA), oferece um alto nível de segurança. Esses bancos de dados contêm registros que passaram por processos completos de verificação de identidade e são atualizados regularmente, o que dificulta a criação de identidades falsas ou a representação de outras pessoas por fraudadores.
  • Acessibilidade e inclusão: Média - Embora os bancos de dados de identidade emitidos pelo governo sejam abrangentes e cubram uma ampla gama da população, alguns indivíduos podem enfrentar desafios para serem verificados com sucesso nesses bancos de dados. Isso pode ocorrer por vários motivos, como inconsistências nas informações pessoais, mudanças recentes de nome ou endereço ou interação limitada com órgãos governamentais. Além disso, determinados grupos marginalizados ou indivíduos com circunstâncias únicas podem ter dificuldades para serem representados com precisão nesses bancos de dados.

Agência de crédito

  • Nível desegurança : Médio a alto - A verificação das informações fornecidas pelo usuário em relação aos bancos de dados das agências de crédito oferece um nível de segurança de médio a alto. Os birôs de crédito mantêm registros extensos dos históricos financeiros dos indivíduos, incluindo contas de crédito, históricos de pagamento e registros públicos. Esses bancos de dados são atualizados regularmente e podem ajudar a identificar inconsistências ou sinais de alerta nas informações fornecidas por um usuário. No entanto, o nível de segurança da verificação do banco de dados da agência de crédito depende da precisão e da integridade dos registros mantidos pelas agências de crédito e da possibilidade de roubo ou fraude de identidade.
  • Acessibilidade e inclusão: Média - As agências de crédito geralmente têm uma cobertura populacional muito alta, mas, dentro dela, podem ter usuários de "perfil reduzido". Um usuário de perfil reduzido é alguém que tem um histórico de crédito limitado, o que pode ser problemático para a pontuação de crédito, verificação usando a Verificação Baseada em Conhecimento (KBV) e indicadores de risco de fraude (por exemplo, evidência de atividade ao longo do tempo). Embora a cobertura das agências de crédito seja geralmente alta para validar uma identidade, ela pode sofrer atrasos porque depende da atualização dos dados de origem.
  • Além disso, alguns indivíduos podem ter acesso limitado ao crédito devido a fatores socioeconômicos, o que pode afetar ainda mais a inclusão da verificação do banco de dados do bureau de crédito. Jovens adultos que ainda não estabeleceram um histórico de crédito, imigrantes recentes que não tiveram a oportunidade de construir um perfil de crédito no novo país ou indivíduos que dependem principalmente de transações em dinheiro podem ter presença limitada ou nenhuma presença nos bancos de dados dos birôs de crédito. Isso pode resultar em desafios quando se tenta verificar suas identidades usando apenas os dados do bureau de crédito.

Conta de serviços públicos

  • Nível de segurança: Baixo a médio - A verificação das informações fornecidas pelo usuário em bancos de dados de contas de serviços públicos oferece um nível de segurança de baixo a médio. Embora as contas de serviços públicos possam fornecer um comprovante de endereço, os bancos de dados que armazenam essas informações podem não ter o mesmo nível de segurança e precisão que os bancos de dados de identidade emitidos pelo governo ou por agências de crédito. Os bancos de dados de contas de serviços públicos podem ser mais suscetíveis a erros, informações desatualizadas ou entradas fraudulentas. Além disso, as próprias contas de serviços públicos podem ser relativamente fáceis de falsificar ou manipular, o que pode comprometer a segurança do processo de verificação. O nível de segurança pode ser aprimorado com o cruzamento de informações de várias contas de serviços públicos ou com a combinação da verificação de contas de serviços públicos com outros métodos de verificação.
  • Acessibilidade e inclusão: Baixa - A verificação do banco de dados de contas de serviços públicos pode não ser tão acessível ou inclusiva como se pensava anteriormente. As contas domésticas tendem a ser endereçadas a um indivíduo nomeado, o que significa que qualquer outra pessoa da família pode ser excluída desse método de verificação. Isso não se limita a estudantes universitários que moram em dormitórios; muitos imóveis alugados têm contas de serviços públicos em nome do proprietário, quer os serviços públicos estejam incluídos no aluguel ou sejam pagos separadamente pelo inquilino. Até mesmo os contratos de telefonia celular não estão necessariamente vinculados ao usuário final, como no caso dos pais que pagam as contas dos filhos.
  • Nessas situações, a verificação do banco de dados de contas de serviços públicos pode não ser uma opção viável para uma parcela significativa da população. Isso pode resultar em desafios quando se tenta verificar as identidades de indivíduos que não têm contas de serviços públicos em seu nome. Além disso, indivíduos sem-teto ou em moradias transitórias podem não ter acesso a contas de serviços públicos, limitando ainda mais a acessibilidade e a inclusão desse método de verificação. Para garantir a acessibilidade e a inclusão de todos os usuários, talvez seja necessário considerar métodos de verificação alternativos em conjunto com a verificação do banco de dados de contas de serviços públicos ou em substituição a ela.

Lista eleitoral

  • Nível de segurança: Médio - A verificação das informações fornecidas pelo usuário em relação aos bancos de dados de listas eleitorais oferece um nível médio de segurança. As listas eleitorais contêm informações sobre os eleitores registrados, incluindo nome, endereço e data de nascimento, que podem ser usadas para confirmar a identidade de um usuário. Entretanto, a precisão e a integridade dos bancos de dados dos cadernos eleitorais podem variar, dependendo da frequência das atualizações e da eficiência do processo de registro de eleitores. Em alguns casos, as listas eleitorais podem não incluir todos os indivíduos qualificados, como aqueles que recentemente completaram 18 anos ou aqueles que não se registraram ativamente para votar. Além disso, a segurança dos bancos de dados dos cadernos eleitorais pode estar sujeita às mesmas vulnerabilidades de outros bancos de dados governamentais, como a possibilidade de violações de dados ou acesso não autorizado.
  • Acessibilidade e inclusão: Baixo a médio - Motivo: O acesso aos dados do cadastro eleitoral geralmente é restrito, o que pode limitar a acessibilidade e a inclusão desse método de verificação. Em alguns países, como o Reino Unido, a versão não editada do cadastro eleitoral só pode ser acessada por organizações prescritas, como as agências de crédito. Isso significa que muitas organizações podem não ter acesso direto ao banco de dados completo da lista eleitoral, reduzindo a acessibilidade geral desse método de verificação.
  • Além disso, há certos grupos de indivíduos que podem ser excluídos dos bancos de dados dos cadernos eleitorais, mesmo em países onde o registro de eleitores é obrigatório ou amplamente incentivado. Por exemplo, indivíduos que não estão registrados para votar, seja por opção ou devido a restrições de elegibilidade, não estarão presentes na lista eleitoral. Da mesma forma, aqueles que se mudaram recentemente ou mudaram de endereço podem não ter atualizado seu registro de eleitor, o que leva a discrepâncias no processo de verificação. Em alguns países, certos grupos marginalizados podem enfrentar barreiras ao registro de eleitores, o que pode limitar ainda mais a inclusão da verificação do banco de dados da lista eleitoral.

Operadora de rede móvel (MNO)

  • Nível de segurança: Médio - As MNOs coletam e armazenam informações de identidade fornecidas por indivíduos durante o registro do cartão SIM, incluindo nome, endereço e (em alguns países) detalhes de identificação emitidos pelo governo. Esses dados podem ser usados para corroborar a identidade de um usuário durante o processo de verificação. No entanto, o nível de segurança da verificação do banco de dados da MNO depende da precisão e da confiabilidade dos processos de coleta e verificação de dados da MNO. Em alguns casos, as informações de identidade associadas a um número de telefone celular podem estar desatualizadas, imprecisas ou incompletas, especialmente se o cartão SIM tiver sido registrado há muito tempo ou se o usuário tiver alterado seus dados pessoais sem atualizar os registros da MNO. Além disso, a segurança dos bancos de dados da MNO pode estar sujeita a comprometimentos, o que pode prejudicar a integridade do processo de verificação.
  • Acessibilidade e inclusão: Alta - Com a adoção generalizada de telefones celulares, a verificação da MNO é altamente acessível a uma grande parte da população. No entanto, ela pode excluir indivíduos que não possuem um telefone celular ou aqueles que usam serviços pré-pagos sem fornecer informações pessoais detalhadas.

Reconhecimento óptico de caracteres (OCR)

  • Nível de segurança: Baixo a médio - O OCR depende da qualidade da imagem capturada e da precisão dos algoritmos de reconhecimento de texto. Embora possa extrair dados de documentos de identidade, ele não verifica inerentemente a autenticidade do documento em si. O OCR pode ser suscetível a erros e pode não detectar falsificações ou manipulações sofisticadas do texto do documento.
  • Acessibilidade do usuário: alta - a tecnologia OCR está amplamente disponível e pode ser integrada a vários aplicativos voltados para o usuário, como aplicativos móveis ou serviços baseados na Web. Os usuários podem capturar facilmente imagens de seus documentos de identidade usando smartphones ou outros dispositivos, tornando o processo conveniente e acessível.
  • Acessibilidade do operador: alta - a tecnologia de OCR é relativamente fácil de implementar e operar, com várias soluções prontas para uso e APIs disponíveis. Os operadores podem integrar os recursos de OCR em seus sistemas existentes sem a necessidade de conhecimento ou recursos especializados abrangentes.

Leitura de chip de comunicação de campo próximo (NFC)

  • Nível de segurança: alto - Os chips NFC nos passaportes modernos e em algumas carteiras de identidade nacionais armazenam dados assinados criptograficamente, inclusive informações pessoais, dados biométricos e recursos de segurança digital. Essa assinatura criptográfica garante a integridade e a autenticidade dos dados, tornando-os altamente resistentes a adulterações ou falsificações. Os dispositivos habilitados para NFC podem ler os dados com segurança e verificar a assinatura criptográfica, fornecendo uma forte garantia da genuinidade do documento e da identidade do titular. Recursos de segurança adicionais, como a autenticação ativa, aumentam ainda mais a segurança do processo de verificação.
  • Acessibilidade do usuário: Baixa a média - A leitura de chips NFC requer hardware especializado, como smartphones habilitados para NFC ou leitores dedicados, que podem não estar amplamente disponíveis ou acessíveis para todos os usuários. Além disso, a adoção de chips NFC em documentos de identidade varia entre os países, limitando a acessibilidade e a inclusão globais.
  • Acessibilidade do operador: Baixa a média - A implementação da leitura do chip NFC requer componentes especializados de hardware e software, que podem não estar disponíveis em grande escala ou ser econômicos em comparação com outras tecnologias de verificação de documentos. A extração e o processamento dos dados do chip NFC também exigem conhecimento técnico e experiência específicos, o que pode limitar a acessibilidade dos operadores com recursos técnicos limitados.

Leitura de zonas legíveis por máquina (MRZ)

  • Nível de segurança: Médio - O MRZ é um formato padronizado que inclui mecanismos de detecção de erros, tornando-o mais confiável do que o reconhecimento de texto simples. Entretanto, os dados MRZ podem ser copiados ou alterados, e a presença de um MRZ válido não garante a autenticidade de todo o documento.
  • Acessibilidade do usuário: alta - Semelhante ao OCR, a leitura do MRZ pode ser realizada facilmente usando dispositivos prontamente disponíveis, como smartphones ou scanners de documentos dedicados. Os usuários podem capturar imagens do MRZ em seus documentos de identidade sem precisar de equipamentos especializados.
  • Acessibilidade do operador: alta - a tecnologia de leitura MRZ é amplamente suportada e pode ser integrada a vários sistemas e aplicativos. Os operadores podem aproveitar as bibliotecas e ferramentas existentes para implementar os recursos de leitura MRZ sem complexidade ou custo significativos.

Leitura de código de barras

  • Nível de segurança: Baixo a médio - Os códigos de barras podem armazenar dados codificados, mas não oferecem recursos de segurança fortes por natureza. Os códigos de barras podem ser facilmente replicados ou manipulados, e a presença de um código de barras válido não garante a autenticidade de todo o documento.
  • Acessibilidade do usuário: alta - A leitura de código de barras é uma tecnologia comum. Os usuários podem facilmente ler códigos de barras em seus documentos de identidade sem precisar de equipamentos especializados ou conhecimento técnico.
  • Acessibilidade do operador: alta - A tecnologia de leitura de código de barras é amplamente suportada e pode ser prontamente integrada a vários sistemas e aplicativos. Os operadores podem utilizar as bibliotecas e ferramentas existentes para implementar recursos de leitura de código de barras com o mínimo de esforço e recursos.

Leitura de código QR

  • Nível de segurança: Baixo a médio - Os códigos QR podem armazenar mais dados do que os códigos de barras tradicionais, mas enfrentam limitações de segurança semelhantes. Os códigos QR podem ser facilmente gerados ou manipulados, e a presença de um código QR válido não garante a autenticidade de todo o documento.
  • Acessibilidade do usuário: alta - a leitura de código QR é amplamente suportada por smartphones e outros dispositivos comuns. Os usuários podem facilmente ler códigos QR em seus documentos de identidade usando aplicativos prontamente disponíveis ou a funcionalidade da câmera integrada.
  • Acessibilidade do operador: alta - a tecnologia de leitura de código QR é amplamente suportada e pode ser facilmente integrada a vários sistemas e aplicativos. Os operadores podem aproveitar as bibliotecas e ferramentas existentes para implementar recursos de leitura de código QR sem complexidade significativa ou requisitos de recursos.

Verificação de documentos móveis (esse método é implementado na licença de mergulho móvel (mDL), eID (identificação eletrônica) e outras carteiras, como Google e Apple)

  • Nível de segurança: Médio a alto - A verificação de documentos móveis aproveita os recursos de segurança incorporados aos dispositivos móveis e às carteiras digitais, como o armazenamento seguro de elementos e a autenticação biométrica. Os próprios documentos digitais podem incorporar assinaturas criptográficas e outras medidas de segurança, aumentando sua resistência a adulterações ou falsificações.
  • Acessibilidade do usuário: alta - A verificação móvel de documentos permite que os usuários armazenem e apresentem seus documentos de identidade digital usando seus smartphones ou outros dispositivos móveis. Isso proporciona um método conveniente e de fácil acesso para os usuários gerenciarem e compartilharem suas credenciais de identidade.
  • Acessibilidade da operadora: Média a alta - A implementação da verificação móvel de documentos exige integração com plataformas móveis e provedores de carteiras digitais. Embora existam estruturas estabelecidas e APIs disponíveis, as operadoras talvez precisem investir em recursos de desenvolvimento e garantir a compatibilidade com vários dispositivos móveis e sistemas operacionais.

Validação de recursos de segurança visual

  • Nível de segurança: Médio a alto - Os recursos de segurança visual, como hologramas, microimpressão e padrões UV, são projetados para serem difíceis de replicar ou manipular. A validação desses recursos pode ajudar a detectar documentos falsificados ou alterados, fornecendo uma camada adicional de segurança além da extração de dados apenas.
  • Acessibilidade do usuário: alta - A validação do recurso de segurança visual pode ser realizada usando câmeras de alta resolução em smartphones ou outros dispositivos prontamente disponíveis. Os usuários podem capturar imagens de seus documentos de identidade sem precisar de equipamentos especializados ou conhecimento técnico.
  • Acessibilidade do operador: Média a alta - A implementação da validação visual de recursos de segurança requer algoritmos de visão computacional e modelos de aprendizado de máquina treinados para reconhecer e validar recursos de segurança específicos. Embora existam soluções e estruturas disponíveis, os operadores talvez precisem investir no desenvolvimento ou na adaptação desses modelos para seus casos de uso específicos.

Extração de imagens faciais

  • Nível de segurança: Médio a alto - A extração de imagens faciais permite a comparação biométrica entre a imagem no documento de identidade e uma selfie ao vivo ou uma imagem previamente registrada do usuário. Isso ajuda a estabelecer um forte vínculo entre o documento e o indivíduo que está reivindicando a identidade, reduzindo o risco de falsificação de identidade ou fraude. Os níveis de segurança dependem do desempenho da tecnologia de biometria facial utilizada.
  • Acessibilidade do usuário: alta - A decisão de criar um modelo biométrico para usos contínuos e mais amplos com organizações verificadas fica a critério do indivíduo. Os usuários podem capturar facilmente imagens de seus documentos de identidade e fornecer selfies ao vivo para comparação, tornando o processo conveniente e acessível.
  • Acessibilidade do operador: Média a alta - A implementação da extração de imagens faciais requer algoritmos de visão computacional e tecnologia de biometria facial. Embora existam várias soluções disponíveis, as operadoras talvez precisem investir no desenvolvimento ou na integração desses recursos em seus sistemas. Garantir a precisão, a imparcialidade e a conformidade legal da tecnologia de biometria facial também pode aumentar a complexidade do processo de implementação.

Por fim, esses métodos e tecnologias podem ser usados de forma independente ou em várias combinações, dependendo do tipo de documento de identidade que está sendo verificado e dos requisitos específicos do processo de verificação. Normalmente, as organizações escolhem a combinação mais adequada com base em fatores como nível de segurança, experiência do usuário e tipos de documentos de identidade que precisam suportar.

Biometria de impressão digital

  • Nível de segurança: Médio - As impressões digitais são exclusivas dos indivíduos e difíceis de falsificar, mas podem ser comprometidas se forem roubadas de um banco de dados ou replicadas com imagens de alta resolução ou impressões digitais falsas.
  • Acessibilidade e inclusão: Média - Os sensores de impressão digital estão amplamente disponíveis nos smartphones, o que os torna acessíveis a muitos usuários. No entanto, algumas pessoas podem ter dificuldade para usar os scanners de impressões digitais devido a problemas de pele, lesões ou impressões digitais desgastadas.

Biometria facial

  • Nível de segurança: alto - Algoritmos avançados, mapeamento 3D e mecanismos de desafio-resposta dificultam a falsificação da biometria facial. No entanto, o nível de segurança pode ser menor se esses recursos avançados não forem implementados.
  • Acessibilidade e inclusão: Alta - Os rostos são usados na maioria dos documentos de identidade emitidos pelo governo, como passaportes, o que facilita o vínculo com a prova de identidade com o rosto do usuário. A verificação biométrica facial é sem contato e pode ser usada com as câmeras existentes, o que a torna altamente acessível. Ela pode acomodar usuários com problemas de mobilidade ou aqueles que não podem usar outras modalidades biométricas, como a impressão digital.

Biometria da palma da mão

  • Nível de segurança: alto - Os padrões das veias da palma da mão são exclusivos, difíceis de falsificar e permanecem estáveis ao longo do tempo. A combinação de veias da palma da mão e impressões palmares oferece uma solução de segurança robusta.
  • Acessibilidade e inclusão: Média - Os scanners biométricos da palma da mão são menos comuns em comparação com os sensores de impressão digital ou câmeras e não estão vinculados a documentos de identidade emitidos pelo governo. Alguns usuários podem precisar de treinamento para posicionar corretamente a palma da mão no scanner. No entanto, pesquisas e desenvolvimentos novos e mais recentes surgiram, permitindo que os usuários usem a câmera do smartphone para capturar a imagem da palma da mão.

Considerações adicionais

  • Precisão e parcialidade: os algoritmos biométricos podem apresentar níveis variados de precisão e parcialidade com base em fatores como idade, gênero e etnia. As organizações devem avaliar cuidadosamente o desempenho da solução escolhida em diversos grupos demográficos para garantir a imparcialidade e minimizar os falsos positivos ou negativos.
  • Preocupações com a privacidade: A coleta, o armazenamento e o uso de dados biométricos levantam preocupações significativas com relação à privacidade, pois são altamente confidenciais e não podem ser facilmente alterados se forem comprometidos. As organizações devem aderir a normas rígidas de proteção de dados e práticas recomendadas, como a obtenção do consentimento explícito do usuário, a implementação de métodos seguros de armazenamento e transmissão e a definição de políticas claras de retenção e exclusão de dados.
  • Cenário de ameaças: Embora as técnicas biométricas tenham como objetivo reduzir o risco de ataques de apresentação (por exemplo, usando fotos, vídeos ou máscaras), os adversários sofisticados ainda podem tentar enganar o sistema usando falsificações de alta qualidade ou mídia avançada alterada digitalmente (como trocas de rosto). As organizações devem se manter informadas sobre as ameaças mais recentes e atualizar continuamente suas medidas anti-spoofing para manter um alto nível de segurança.

Falaremos mais sobre biometria no artigo 3 do Spectrum of Identity - Biometric Technologies.

  • Realizar uma avaliação completa dos riscos: Antes de implementar uma solução de prova de identidade, as organizações devem avaliar os riscos associados aos seus casos de uso específicos. Isso inclui a avaliação do possível impacto da fraude de identidade, a sensibilidade dos dados ou serviços que estão sendo acessados e os requisitos regulamentares. A avaliação de riscos ajuda a determinar o nível adequado de garantia necessário.
  • Equilibre segurança, conformidade, experiência do usuário e custo: As soluções de comprovação de identidade devem encontrar um equilíbrio entre segurança, conformidade regulamentar, experiência do usuário e considerações de custo. Embora medidas de segurança robustas sejam essenciais, elas não devem prejudicar a experiência do usuário. As organizações também devem considerar as implicações de custo da implementação e manutenção de diferentes tecnologias de verificação de identidade.
  • Adote uma abordagem em várias camadas: A combinação de vários métodos e tecnologias de verificação pode aumentar o nível geral de garantia. Uma abordagem em várias camadas torna mais difícil para os fraudadores contornarem o processo de comprovação de identidade e oferece uma visão mais abrangente da identidade de um indivíduo.
  • Revisar e atualizar regularmente os processos: Os processos de comprovação de identidade devem ser revisados e atualizados regularmente para acompanhar a evolução das ameaças e dos avanços tecnológicos. As organizações devem se manter informadas sobre as práticas recomendadas emergentes, os padrões do setor e as mudanças regulamentares para garantir a eficácia contínua de seus esforços de verificação de identidade.

iProov: Confiável por

Logotipo do NHS
Logotipo do ING
Banco Knab

Somente com o Dynamic Liveness você pode ter certeza de que um indivíduo é a pessoa certa, uma pessoa real, que está se autenticando no momento.

AS CERTIFICAÇÕES SÃO IMPORTANTES.

Saiba por que

  • Nível de garantia eIDAS Alto
  • ISO/IEC 30107-3
  • SOC 2 Tipo II
  • Certificação da estrutura de confiança de atributos e identidade digital do governo do Reino Unido
  • Fornecedor certificado do G-Cloud
  • Provedor de Mitigação de SIF do Federal Reserve
  • iBeta
  • iRAP
  • Laboratório Nacional de Física do Reino Unido (NPL)

Agende sua demonstração gratuita!