什么是身份验证的法规合规?
身份验证中的法规合规是指满足政府机构和行业组织对客户身份验证所设定的法律要求。这包括 KYC(了解您的客户)、AML(反洗钱)、GDPR 数据保护、HIPAA 医疗隐私和 ISO 27001 信息安全标准。ID Analyzer 通过自动化证件验证、生物识别检查和全面的审计记录帮助企业满足这些要求。
欧盟一般数据保护规范 (GDPR)
符合欧盟一般数据保护规范 (GDPR)
ID Analyzer 秉持数据保护设计与预设原则,并实施严格的技术与组织措施来保护通过我们服务处理的所有身份信息。我们定期进行数据保护影响评估,并制定严格的内部安全政策,只有获得您明确许可的极高权限员工才能访问客户信息。为了遵循 GDPR 规范,我们的所有客户都可以使用欧盟端点,确保客户信息的传输和存储不会超出欧盟边界。对于个人信息的处理和存储,我们只与信誉良好的数据中心供应商合作,这些供应商本身也符合 GDPR 规范。
信息安全管理系统
ISO/IEC 27001
ISO/IEC 27001 是由国际标准化组织发布的信息安全管理标准,旨在提升机构所持有信息的安全性。机构要得到 ISO 27001 认证,必须通过认证机构的一系列严谨审核。ID Analyzer 已获得 BSI 颁发的 ISO 27001 认证,确保所有客户使用我们的服务时都能安心无虞。为了全方位强化服务的安全性,我们仅与同样通过 ISO 27001 认证的第三方供应商合作。
医疗信息隐私
符合 HIPAA 标准
ID Analyzer 广泛应用于医疗保健机构与保险公司,特别是在远程医疗领域,协助现场或远程客户进行身份验证。简而言之,采用 ID Analyzer 进行患者/客户注册流程并不会影响您的组织遵守 HIPAA 的状态。原因很简单,您的组织仅向我们传递身份资料,不包含可能与该人连接的任何相关医疗信息。我们协助您数字化并验证用户的身份,但不处理或储存客户端的任何 HIPAA 法规规定的受保护健康信息(PHI)。依据 HIPAA 法规要求,您的组织有责任将 ID Analyzer 提供的身份资料与医疗信息一同安全储存。
数字身份准则
符合 NIST IAL-2 标准
当 ID Analyzer 证件验证 API 和 DocuPass 结合生物识别验证并正确设置后,就能满足 NIST 的 IAL2 数字身份标准要求。IAL2 要求远程或实体身份验证,这能够通过我们提供的证件+生物识别验证解决方案来达成。通过 ID Analyzer,我们的 API 系统会自动评估使用者主张的身份资料的真实性,并验证该使用者是否确实关联于此真实身份。
我们不会贩售您的资料
无记录政策
作为 SaaS 服务供应商,我们导入了无记录政策,确保客户安心使用我们的服务。如果您在使用我们的服务时禁用了云端储存系统,我们将不会储存任何您上传至服务器的资料,包括所有影像或个人资料。这能在万一发生极其罕见的安全漏洞时,确保攻击者无法取得客户的任何个人信息。
合规概览
| 标准 | 范围 | 满足的关键要求 |
|---|---|---|
| GDPR | 欧盟数据保护 | 数据最小化、删除权、同意管理、可提供 DPA |
| ISO 27001 | 信息安全 | 加密存储、访问控制、事件响应、持续监控 |
| HIPAA | 医疗数据 | PHI 保护、审计记录、访问控制、可提供 BAA |
| NIST IAL-2 | 身份保证 | 证件验证、生物识别匹配、活体检测 |
ID Analyzer 如何确保合规
1. 配置验证规则
根据您的监管要求配置验证规则,包括接受的证件类型、所需的生物识别检查以及适用于您所在司法管辖区的 AML 筛查阈值。
2. 证件与生物识别验证
客户通过提交政府签发的身份证件和实时自拍照完成证件和生物识别验证,用于身份确认和活体检测。
3. AML/PEP 筛查
系统对全球数据库执行 AML/PEP 筛查,包括制裁名单、政治敏感人物登记册和犯罪监控名单,以满足反洗钱要求。
4. 审计记录生成
每次验证都会自动生成完整的审计记录,记录时间戳、决策结果以及监管机构所需的支持证据。
5. 加密存储与保留
数据按照您配置的保留策略进行加密存储,可选择自动删除、无日志处理或安全的 Vault 存储,以满足 GDPR、HIPAA 及其他数据保护要求。
常见问题
是的,ID Analyzer 完全符合 GDPR,具备数据最小化、删除权、同意管理等功能,并为所有客户提供数据处理协议。
是的,ID Analyzer 已通过 ISO/IEC 27001 认证,具备加密数据存储、严格的访问控制和持续的安全监控。
是的,ID Analyzer 符合医疗保健和保险应用的 HIPAA 要求,可根据需求提供商业伙伴协议(BAA)。
NIST 身份保证级别 2 要求通过证件验证和生物识别匹配进行远程身份认证,ID Analyzer 完全支持该标准。
可选的无日志策略可用——验证数据可在处理后自动删除,也可根据您的偏好安全地存储在交易保险库中。
可以,企业客户可获取 DPA 以满足 GDPR 和其他法规要求。