Trong kỷ nguyên kỹ thuật số ngày nay, nhu cầu về các biện pháp bảo mật và xác minh danh tính mạnh mẽ đã tăng lên. Các phương pháp truyền thống như mật khẩu, Mật mã dùng một lần (OTP)xác minh cuộc gọi video đang khiến các tổ chức và người dùng thất bại.

Xác minh khuôn mặt sinh trắc học nổi bật là cách an toàn và thân thiện với người dùng nhất để chứng minh danh tính trực tuyến, nhưng có nhiều công ty khác nhau để lựa chọn.

Để hỗ trợ bạn, chúng tôi đã soạn thảo một hướng dẫn toàn diện để đảm bảo bạn đưa ra quyết định sáng suốt phù hợp hoàn hảo với nhu cầu của tổ chức bạn. Hãy xem qua những cân nhắc hàng đầu của bạn khi đánh giá các nhà cung cấp sinh trắc học.

1. Đánh giá bảo mật

Bước đầu tiên là xác định mức độ bảo mật cần thiết và xác định rủi ro trong tổ chức của riêng bạn. Ý nghĩa của việc chiếm đoạt tài khoản là gì? Đối với các ngân hàng, điều này có thể có nghĩa là một tài khoản bị làm trống hoặc một khoản tiền lớn bị đánh cắp.

Những thiệt hại nào có thể gây ra cho tổ chức của bạn bằng cách cho phép bọn tội phạm thiết lập tài khoản gian lận bằng cách sử dụng danh tính bị đánh cắp hoặc tổng hợp? Nếu bạn làm trong lĩnh vực tài chính, những kẻ lừa đảo có thể thiết lập tài khoản để rửa tiền và bạn có nguy cơ bị các cơ quan quản lý truy tố vì không tuân theo các nguyên tắc về khách hàng của bạn (KYC) hoặc chống rửa tiền (AML). Nếu bạn là một cơ quan chính phủ, những kẻ lừa đảo có thể ăn cắp tiền được phân bổ cho lợi ích xã hội.

Quy mô tiềm năng của vấn đề cũng cần được xem xét, vì một cuộc tấn công quy mô lớn có thể dẫn đến hàng ngàn tài khoản bị xâm phạm thành công trong một khoảng thời gian ngắn.

Từ đó, bạn có thể đánh giá khả năng phòng thủ của nhà cung cấp sinh trắc học. Dưới đây là danh sách các khu vực bạn có thể hỏi nhà cung cấp:

  • Phát hiện giả mạo:
    • Hỏi về khả năng chống giả mạo của nhà cung cấp. Làm thế nào để họ phát hiện và ngăn chặn các cuộc tấn công trình bày (ví dụ: ảnh, video hoặc mặt nạ 3D)? Phát hiện tấn công bản trình bày (PAD) có thể phát hiện các cuộc tấn công như mặt nạ và bản in giấy.
    • Giải pháp có thể bảo vệ chống lại các cuộc tấn công tinh vi hơn mà ngành công nghiệp hiện không chứng nhận phòng thủ chống lại - chẳng hạn như các cuộc tấn công được tiêm kỹ thuật số, deepfake và các cuộc tấn công AI tạo ra không?
    • Xác định mức độ triển khai của nhà cung cấp đã được kiểm tra bởi các cơ quan kiểm tra thâm nhập được công nhận bên ngoài hoặc Đội đỏ của chính phủ.
  • Phát triển bảo mật:
    • Làm thế nào để phòng thủ của nhà cung cấp đi trước bối cảnh mối đe dọa đang phát triển? Hãy hỏi: làm thế nào để bạn bảo vệ chống lại các mối đe dọa zero-day? Bạn đang phân tích dữ liệu meta và hình ảnh nào như một phần của phương pháp phát hiện mối đe dọa? Làm thế nào để bạn bảo vệ tính toàn vẹn của phần mềm khỏi các cuộc tấn công mạng như trình giả lập?
    • Trung tâm điều hành bảo mật (SOC) rất quan trọng để phát hiện và ngăn chặn các kỹ thuật tạo AI, deepfake, hoán đổi khuôn mặt và thao tác siêu dữ liệu trên cơ sở liên tục.

2. Đánh giá khả năng sử dụng và tính toàn diện

Khả năng sử dụng và tính toàn diện xác định cách giải pháp sinh trắc học sẽ được người dùng chấp nhận và chấp nhận. Giải pháp sinh trắc học của bạn nên được sử dụng bởi bộ phận dân số lớn nhất có thể. Đảm bảo tính toàn diện không chỉ là điều đúng đắn cần làm mà còn mở rộng tổng thị trường có thể giải quyết của bạn và do đó có thể tối đa hóa doanh thu. Dưới đây là một số lĩnh vực cần đề cập:

  • Tính toàn diện: Nhà cung cấp có thể chứng minh cách họ chủ động giảm thiểu sự thiên vị không? Họ đã hỗ trợ khách hàng ở nhiều khu vực và cho các nhóm khách hàng đa dạng chưa? Họ có đào tạo các thuật toán của họ trên các tập dữ liệu đa dạng không? Giải pháp có thể truy cập được bởi người mới kỹ thuật số cũng như người bản địa kỹ thuật số không? Nó có thể được sử dụng trên mọi thiết bị không - chúng hỗ trợ những loại, nhãn hiệu và kiểu máy nào
  • Chứng nhận: Nhà cung cấp sinh trắc học có phù hợp với WCAG 2.2 AA và 508 không?
  • Khả năng sử dụng và tiện lợi: Người dùng có thể hoàn tất xác thực dễ dàng không? Những kỹ thuật nào được thực hiện để hỗ trợ tỷ lệ hoàn thành và giảm thiểu ma sát? Nó có thể chứng minh hiệu suất được cải thiện và tỷ lệ thành công cao không?

3. Giải quyết các mối quan tâm về quyền riêng tư

Khi chọn nhà cung cấp, hãy hỏi những câu hỏi sau:

  • Dữ liệu được xử lý và lưu trữ như thế nào và ở đâu? Những loại biện pháp bảo mật nào được áp dụng để bảo vệ dữ liệu sinh trắc học được thu thập?
  • Nhà cung cấp tuân thủ các quy định như thế nào? Tổ chức có được chứng nhận ISO 27001, SOC 2 Type II không?
  • Làm thế nào để bạn xử lý việc lưu giữ, xóa dữ liệu và tuân thủ các quy định bảo vệ dữ liệu, chẳng hạn như GDPR?
  • Kế hoạch khắc phục thảm họa và kinh doanh liên tục trong trường hợp lỗi hệ thống hoặc các trường hợp khẩn cấp khác là gì?
  • Đối với các tổ chức EU: tổ chức của bạn có tuân thủ và được kiểm toán theo Mức độ đảm bảo eIDAS cao không?

4. So sánh độ chính xác và hiệu suất của hệ thống

Nếu xác thực không thành công, vì bất kỳ lý do gì, sự thất vọng của người dùng sẽ tăng lên. Điều này, đến lượt nó, ảnh hưởng đến hình ảnh thương hiệu của bạn và sự hài lòng của khách hàng cũng như chi phí. Hỏi: tỷ lệ chính xác của công nghệ xác minh khuôn mặt của bạn là bao nhiêu và bạn đo lường nó như thế nào? Những nỗ lực trung bình của bạn để vượt qua và tỷ lệ hoàn thành trong sản xuất là gì? Đánh giá các lĩnh vực sau:

  • Số lần thử để vượt qua: Khi đánh giá hiệu suất của sản phẩm, hãy yêu cầu số lần thử trung bình mà người dùng chính hãng cần để vượt qua xác thực. Mặc dù mục tiêu là để mọi người dùng hợp pháp vượt qua lần thử đầu tiên, nhưng một số thất bại là không thể tránh khỏi. Mức độ mà số lần thử trung bình vượt quá một cho biết khả năng sử dụng của sản phẩm và tỷ lệ chuyển đổi có khả năng. Yêu cầu số liệu này từ nhà cung cấp, cùng với kích thước mẫu và phương pháp tính toán được sử dụng. Ngoài ra, thu thập phản hồi từ khách hàng hiện tại để hiểu rõ hơn về trải nghiệm của họ.
  • Tỷ lệ chấp nhận sai (FAR) và Tỷ lệ từ chối sai (FRR): Điều quan trọng là phải thiết lập FRR và FAR của nhà cung cấp để đo lường định lượng này. Chất lượng công nghệ sống động của nhà cung cấp sẽ tác động đến FAR và FRR.
  • Hiệu suất dựa trên thiết bị: Làm thế nào để nhà cung cấp đảm bảo hiệu suất nhất quán (tỷ lệ hoàn thành cao) bất kể thiết bị được sử dụng?

5. Hiểu nhu cầu về khả năng mở rộng của bạn

Khi thực hiện xác thực sinh trắc học, nhiều tổ chức không chắc chắn về mức độ chấp nhận của người dùng. Nhu cầu dự kiến có thể khác biệt đáng kể so với kết quả thực tế. Bạn cần đảm bảo rằng giải pháp bạn chọn sẽ mở rộng quy mô nhanh chóng và tiết kiệm chi phí. Nếu bạn tự lưu trữ giải pháp, bạn có thể cung cấp và đủ khả năng cho các máy chủ cần thiết để trang trải tất cả các kết quả không? Nếu bạn chọn nhà cung cấp dựa trên đám mây, hãy đánh giá hồ sơ theo dõi của họ trong việc xử lý mức nhu cầu cao.

6. So sánh chi phí

Giá của các hệ thống sinh trắc học có thể khác nhau và có thể bao gồm các thành phần khác nhau. Ví dụ: một số nhà cung cấp đám mây bao gồm chi phí lưu trữ trong giá của họ, trong khi những người khác mong đợi tổ chức chịu các chi phí này trực tiếp. Để tìm tùy chọn tốt nhất cho ngân sách của bạn, hãy tạo một số mô hình sử dụng tiềm năng và làm việc với nhà cung cấp để xác định mô hình phù hợp nhất.

Hỏi: Bạn có thể cung cấp thông tin về cấu trúc chi phí của dịch vụ xác minh sinh trắc học khuôn mặt của mình, bao gồm bất kỳ khoản phí cấp phép, mô hình đăng ký hoặc chi phí bổ sung nào không?

7. Hiểu mức độ can thiệp của con người của nhà cung cấp

Khám phá cách các nhà cung cấp quản lý sự can thiệp của con người vào quy trình của họ. Can thiệp thủ công có ý nghĩa đối với cả quyền riêng tư và độ chính xác. Kiểm tra thủ công cũng thiếu khả năng mở rộng; Các nhà cung cấp có thể phải vật lộn để tăng gấp đôi lực lượng lao động của họ nếu khối lượng công việc bất ngờ tăng gấp đôi. Ngoài ra, các hệ thống do con người vận hành phải vật lộn để xác định nhất quán và chính xác các phương tiện tổng hợp như deepfake.

Các quy trình xác minh sinh trắc học tự động của con người, lai và tự động có thể được chia thành năm loại:

Sự can thiệp của con người

Để gặt hái những lợi ích của công nghệ sinh trắc học, nên triển khai các quy trình xác minh danh tính lai, tự động tận dụng các chuyên gia của con người để giám sát thời gian thực. Cách tiếp cận này đảm bảo kết quả đáng tin cậy, nhất quán

Cần lưu ý rằng tất cả các phương pháp xác minh danh tính từ xa đều dễ bị tấn công phương tiện tổng hợp (chẳng hạn như deepfake), cho dù đó là cuộc gọi xác minh video do con người vận hành, quy trình lai với kiểm tra sinh trắc học khuôn mặt và giám sát của con người hay quy trình hoàn toàn tự động. Đọc thêm về các mối đe dọa đối với hệ thống xác minh danh tính từ xa tại đây.

8. Đánh giá mức độ đảm bảo

Xem xét:

  • Mức độ đảm bảo (LoA): LoA đề cập đến sự chắc chắn mà bạn có thể có rằng một danh tính có thể được tin cậy để thực sự là danh tính "thật" của người yêu cầu bồi thường. Mức độ đảm bảo càng cao, danh tính càng an toàn và nguy cơ tấn công thành công như gian lận tài khoản mới, gian lận danh tính tổng hợp và chiếm đoạt danh tính càng thấp. Hỏi: Làm thế nào để công nghệ xác định xác thực thời gian thực, đảm bảo rằng đó không phải là phát lại xác thực trước đó? Họ có cung cấp các mức độ đảm bảo khác nhau để đáp ứng các trường hợp sử dụng và khẩu vị rủi ro khác nhau (ví dụ: truy cập bảo mật thấp so với giao dịch bảo mật cao) không?
  • Nhận thức của khách hàng về sự đảm bảo: Để đạt được sự cân bằng hợp lý giữa tốc độ và bảo mật, hãy suy nghĩ cẩn thận về các tình huống bạn sẽ phục vụ. Xác thực trong tích tắc có thể không mang lại sự đảm bảo cần thiết nếu người dùng đang hoàn thành một giao dịch có giá trị cao, nhưng xác thực mất 30 giây có thể gây ra sự thất vọng.

9. Xem xét việc triển khai và tích hợp của nhà cung cấp

Hỏi: Công nghệ được triển khai như thế nào? Và, trung bình, mất bao lâu để triển khai trong sản xuất? Loại phần cứng hoặc phần mềm nào được yêu cầu để tích hợp giải pháp xác minh khuôn mặt vào cơ sở hạ tầng hiện có của bạn?

Hệ thống của bạn có thể xử lý một số lượng lớn các yêu cầu đồng thời trong thời gian thực không? Tốc độ xử lý và giao dịch mỗi giây (TPS) mà nó có thể xử lý là bao nhiêu? Tôi sẽ nhận được một đầu mối liên lạc chuyên dụng? Họ sẽ thực hiện những bước nào để cải thiện kết quả kinh doanh của chúng tôi? Làm thế nào tôi có thể đo lường hiệu suất? Bạn có khả năng báo cáo 24/7, theo thời gian thực không?

10. Kiểm tra hồ sơ và tài liệu tham khảo của nhà cung cấp

  • Nhà cung cấp có sự hiện diện mạnh mẽ trong ngành không? Họ có tham gia vào việc thiết lập các tiêu chuẩn và làm việc với các tổ chức khác để xác định tương lai của ngành không? Nhà cung cấp đã giành được giải thưởng nào chưa? Chọn một nhà cung cấp có uy tín, đã được chứng minh, có tài liệu tham khảo tốt và có thể chứng minh sự chấp nhận thị trường mạnh mẽ.
  • Họ đang làm việc với ai và họ đã trải qua những thử nghiệm và kiểm toán nào? Ví dụ, việc chọn một nhà cung cấp có cơ sở khách hàng toàn cầu có thể rất quan trọng trong việc cung cấp sự đảm bảo về sự thiên vị và tính toàn diện.
  • Họ có dễ làm việc với không? Họ có con người và quy trình tập trung vào khách hàng không? Các khách hàng và đối tác khác của họ nói gì về họ?

Giọng nói vs Iproov 1

Nếu bạn muốn tìm hiểu thêm về cách iProov có thể bảo mật và hợp lý hóa việc xác minh, xác thực và giới thiệu trực tuyến của tổ chức bạn, hãy đặt bản demo của bạn ngay hôm nay.

Cách chọn nhà cung cấp sinh trắc học: lý do và cân nhắc hàng đầu