Como escolher um fornecedor de biometria: Suas 10 principais considerações

Na era digital de hoje, a demanda por medidas robustas de verificação de identidade e segurança aumentou. Os métodos tradicionais, como senhas, One-Time Passcodes (OTPs) e verificação por videochamada, estão falhando tanto para as organizações quanto para os usuários.

A verificação facial biométrica se destaca como a forma mais segura e fácil de usar para comprovar a identidade on-line, mas há muitas empresas diferentes para escolher.

Para ajudá-lo, elaboramos um guia abrangente para garantir que você tome uma decisão informada que se alinhe perfeitamente às necessidades da sua organização. Vamos examinar suas principais considerações ao avaliar os fornecedores de biometria.

1. Avaliar a segurança

A primeira etapa é determinar os níveis de segurança necessários e identificar os riscos em sua própria organização. Quais são as implicações do sequestro de contas? Para os bancos, isso pode significar o esvaziamento de uma conta ou o roubo de grandes somas de dinheiro.

Que danos podem ser causados à sua organização ao permitir que criminosos criem contas fraudulentas usando uma identidade roubada ou sintética? Se você trabalha no setor financeiro, os fraudadores podem criar contas para lavagem de dinheiro, e você corre o risco de ser processado pelos órgãos reguladores por não seguir as diretrizes de conhecimento do cliente (KYC) ou de combate à lavagem de dinheiro (AML). Se você for um órgão governamental, os fraudadores podem roubar dinheiro alocado para benefícios sociais.

A escala potencial do problema também deve ser considerada, pois um ataque em grande escala poderia levar a milhares de contas comprometidas com sucesso em um curto período de tempo.

A partir daí, você pode avaliar as defesas do fornecedor de biometria. Aqui está uma lista de áreas sobre as quais você pode perguntar ao fornecedor:

• Detecção de falsificação:
  • Informe-se sobre os recursos anti-spoofing do fornecedor. Como eles detectam e evitam ataques de apresentação (por exemplo, fotos, vídeos ou máscaras 3D)? A detecção de ataques de apresentação (PAD) pode detectar ataques como máscaras e impressões em papel.
  • A solução pode se defender contra ataques mais sofisticados contra os quais o setor atualmente não certifica a defesa, como ataques injetados digitalmente, deepfakes e ataques de IA generativa?
  • Determine até que ponto as implementações do fornecedor foram testadas por agências de teste de penetração credenciadas externamente ou pela própria Equipe Vermelha do governo.

• Detecção de vivacidade:
  • A solução incorpora verificações de atividade? Como sua tecnologia de vivacidade foi testada e credenciada?
  • Quais técnicas são usadas? A vivacidade de um único quadro oferece pouca proteção para as organizações, e a vivacidade de vários quadros é recomendada. A solução é passiva ou ativa?

• Segurança em evolução:
  • Como as defesas do fornecedor se mantêm à frente do cenário de ameaças em evolução? Pergunte: como você se defende contra ameaças de dia zero? Quais metadados e imagens estão sendo analisados como parte de seus métodos de detecção de ameaças? Como você protege a integridade do seu software contra ataques cibernéticos, como emuladores?
  • Um Centro de Operações de Segurança (SOC) é essencial para detectar e impedir a IA generativa, deepfakes, trocas de rosto e técnicas de manipulação de metadados de forma contínua.

2. Avalie a usabilidade e a inclusão

A usabilidade e a inclusão determinam como a solução biométrica será aceita e adotada pelos usuários. Sua solução biométrica deve poder ser usada pela maior parte possível da população. Garantir a inclusão não é apenas a coisa certa a fazer, mas também expande seu mercado total endereçável e, portanto, pode maximizar a receita. Aqui estão algumas áreas a serem abordadas:

• Inclusão: O fornecedor pode demonstrar como está reduzindo ativamente o preconceito? Ele já oferece suporte a clientes em várias regiões e para diversas populações de clientes? Eles treinam seus algoritmos em diversos conjuntos de dados? A solução é acessível tanto para iniciantes digitais quanto para nativos digitais? Ela pode ser usada em qualquer dispositivo - quais tipos, marcas e modelos são compatíveis?
• Certificação: O fornecedor de biometria está em conformidade com as WCAG 2.2 AA e 508?
• Usabilidade e conveniência: Os usuários podem concluir a autenticação facilmente? Quais técnicas são implementadas para apoiar as taxas de conclusão e reduzir o atrito? É possível demonstrar melhor desempenho e altas taxas de sucesso?

3. Abordar as preocupações com a privacidade

Ao selecionar um fornecedor, faça as seguintes perguntas:

• Como e onde os dados estão sendo processados e armazenados? Que tipos de medidas de segurança estão em vigor para proteger os dados biométricos coletados?
• Como o fornecedor está cumprindo as normas? A organização tem certificação ISO 27001, SOC 2 Tipo II?
• Como você lida com a retenção e a exclusão de dados e com a conformidade com as normas de proteção de dados, como o GDPR?
• Qual é o plano de recuperação de desastres e continuidade dos negócios em caso de falhas no sistema ou outras emergências?
• Para organizações da UE: sua organização está em conformidade e foi auditada de acordo com o Nível de Garantia Alto do eIDAS?

4. Comparar a precisão e o desempenho do sistema

Se uma autenticação falhar, por qualquer motivo, a frustração do usuário aumentará. Isso, por sua vez, afeta a imagem de sua marca e a satisfação do cliente, além do custo. Pergunte: qual é a taxa de precisão da sua tecnologia de verificação facial e como você a mede? Qual é a média de tentativas de aprovação e as taxas de conclusão na produção? Avalie as seguintes áreas:

• Número de tentativas de aprovação: Ao avaliar o desempenho de um produto, pergunte qual é o número médio de tentativas que os usuários legítimos precisam para passar na autenticação. Embora a meta seja que todo usuário legítimo seja aprovado na primeira tentativa, algumas falhas são inevitáveis. A medida em que o número médio de tentativas excede um indica a usabilidade do produto e a provável taxa de conversão. Solicite essa métrica ao fornecedor, juntamente com o tamanho da amostra e o método de cálculo utilizado. Além disso, obtenha feedback dos clientes existentes para obter insights sobre suas experiências.
• Taxas de falsa aceitação (FAR) e taxas de falsa rejeição (FRR): É importante estabelecer o FRR e o FAR do fornecedor para medir isso quantitativamente. A qualidade da tecnologia de vivacidade de um fornecedor afetará a FAR e a FRR.
• Desempenho baseado no dispositivo: Como o fornecedor garante um desempenho consistente (altas taxas de conclusão) independentemente do dispositivo usado?

5. Entenda suas necessidades de escalabilidade

Ao implementar a autenticação biométrica, muitas organizações não têm certeza sobre o nível de adoção do usuário. A demanda projetada pode diferir significativamente dos resultados reais. Você precisa garantir que a solução escolhida será dimensionada de forma rápida e econômica. Se você mesmo hospedar a solução, poderá provisionar e custear os servidores necessários para cobrir todos os resultados? Se optar por um provedor baseado em nuvem, avalie o histórico dele em lidar com altos níveis de demanda.

6. Comparar custos

O preço dos sistemas biométricos pode variar e incluir diferentes componentes. Por exemplo, alguns fornecedores de nuvem incluem custos de hospedagem em seus preços, enquanto outros esperam que a organização arque diretamente com essas despesas. Para encontrar a melhor opção para seu orçamento, crie vários modelos de uso em potencial e trabalhe com o fornecedor para determinar o modelo mais adequado.

Pergunte: Você pode fornecer informações sobre a estrutura de custos do seu serviço de verificação biométrica facial, incluindo taxas de licenciamento, modelos de assinatura ou custos adicionais?

7. Entenda o nível de intervenção humana do fornecedor

Explore como os fornecedores gerenciam a intervenção humana em seus processos. A intervenção manual tem implicações tanto para a privacidade quanto para a precisão. As verificações manuais também carecem de escalabilidade; os fornecedores podem ter dificuldades para dobrar a força de trabalho se a carga de trabalho dobrar inesperadamente. Além disso, os sistemas operados por humanos têm dificuldade para identificar de forma consistente e precisa a mídia sintética, como deepfakes.

Os processos de verificação biométrica humana, híbrida e automatizada podem ser divididos em cinco categorias:

Para aproveitar os benefícios da tecnologia biométrica, é recomendável implantar processos híbridos e automatizados de verificação de identidade que utilizem especialistas humanos para supervisão em tempo real. Essa abordagem garante resultados confiáveis e consistentes

Deve-se observar que todos os métodos de verificação remota de identidade são vulneráveis a ataques de mídia sintética (como deepfakes), sejam chamadas de verificação por vídeo operadas por humanos, processos híbridos com verificações biométricas faciais e supervisão humana ou processos totalmente automatizados. Leia mais sobre as ameaças aos sistemas remotos de verificação de identidade aqui.

8. Avaliar o nível de garantia

Considere:

• O nível de garantia (LoA): O LoA refere-se à certeza que você pode ter de que uma identidade é confiável para ser de fato a identidade "verdadeira" do requerente. Quanto mais alto for o nível de garantia, mais segura será a identidade e menor será o risco de ataques bem-sucedidos, como fraude de nova conta, fraude de identidade sintética e aquisição de identidade. Pergunte: Como a tecnologia determina a autenticação em tempo real, garantindo que não seja uma repetição de uma autenticação anterior? Eles oferecem diferentes níveis de garantia para acomodar diferentes casos de uso e apetite de risco (por exemplo, acesso de baixa segurança versus transações de alta segurança)?
• A percepção de garantia do cliente: Para encontrar o equilíbrio certo entre velocidade e segurança, pense cuidadosamente sobre os cenários que você estará atendendo. Uma autenticação em uma fração de segundo pode não oferecer a segurança necessária se o usuário estiver concluindo uma transação de alto valor, mas uma autenticação que leva 30 segundos pode causar frustração.

9. Considere a implantação e a integração do fornecedor

Pergunte: Como a tecnologia é implementada? E, em média, quanto tempo leva para ser implantada na produção? Que tipo de hardware ou software é necessário para integrar a solução de verificação facial em sua infraestrutura existente?

Seu sistema pode lidar com um grande número de solicitações simultâneas em tempo real? Qual é a velocidade de processamento e as transações por segundo (TPS) com as quais ele pode lidar? Terei um ponto de contato dedicado? Que medidas eles tomarão para melhorar nossos resultados comerciais? Como posso medir o desempenho? Vocês têm recursos de geração de relatórios em tempo real, 24 horas por dia, 7 dias por semana?

10. Verifique o perfil e as referências do fornecedor

• O fornecedor tem uma presença forte no setor? Ele está envolvido na definição de padrões e no trabalho com outras organizações para definir o futuro do setor? O fornecedor ganhou algum prêmio? Escolha um fornecedor que tenha boa reputação, seja comprovado, tenha boas referências e possa demonstrar uma forte adoção pelo mercado.
• Com quem eles estão trabalhando e por quais testes e auditorias eles passaram? Por exemplo, a escolha de um fornecedor com uma base de clientes global pode ser crucial para garantir a parcialidade e a inclusão.
• É fácil trabalhar com eles? Eles têm pessoas e processos focados no cliente? O que os outros clientes e parceiros dizem sobre a empresa?

Se quiser saber mais sobre como a iProov pode proteger e otimizar a verificação, a autenticação e a integração on-line de sua organização, agende sua demonstração hoje mesmo.