什麼是身份驗證的法規合規?
身份驗證的法規合規是指達到政府機關和行業組織針對客戶身份驗證所設定的法律要求。這包括 KYC(瞭解您的客戶)、AML(反洗錢)、GDPR 資料保護、HIPAA 醫療隱私以及 ISO 27001 資訊安全標準。ID Analyzer 透過自動化證件驗證、生物辨識檢查和完整的稽核記錄,協助企業滿足這些要求。
歐盟一般資料保護規範 (GDPR)
符合歐盟一般資料保護規範 (GDPR)
ID Analyzer 秉持資料保護設計與預設原則,並實施嚴格的技術與組織措施來保護透過我們服務處理的所有身份資訊。我們定期進行資料保護影響評估,並制定嚴格的內部安全政策,只有獲得您明確許可的極高權限員工才能存取客戶資訊。為了遵循 GDPR 規範,我們的所有客戶都可以使用歐盟端點,確保客戶資訊的傳輸和儲存不會超出歐盟邊界。對於個人資訊的處理和儲存,我們只與信譽良好的資料中心供應商合作,這些供應商本身也符合 GDPR 規範。
資訊安全管理系統
ISO/IEC 27001
ISO/IEC 27001 是由國際標準化組織發佈的資訊安全管理標準,旨在提升機構所持有資訊的安全性。機構要得到 ISO 27001 認證,必須通過認證機構的一系列嚴謹審核。ID Analyzer 已獲得 BSI 頒發的 ISO 27001 認證 ,確保所有客戶使用我們的服務時都能安心無虞。為了全方位強化服務的安全性,我們僅與同樣通過 ISO 27001 認證的第三方供應商合作。
醫療資訊隱私
符合 HIPAA 標準
ID Analyzer 廣泛應用於醫療保健機構與保險公司,特別是在遠距醫療領域,協助現場或遠端客戶進行身份驗證。簡而言之,採用 ID Analyzer 進行患者/客戶註冊流程並不會影響您的組織遵守 HIPAA 的狀態。原因很簡單,您的組織僅向我們傳遞身份資料,不包含可能與該人連結的任何相關醫療資訊。我們協助您數位化並驗證用戶的身份,但不處理或儲存客戶端的任何 HIPAA 法規規定的受保護健康資訊(PHI)。依據HIPAA 法規要求,您的組織有責任將 ID Analyzer 提供的身份資料與醫療資訊一同安全儲存。
數位身份準則
符合 NIST IAL-2 標準
當 ID Analyzer 證件驗證 API 和 DocuPass 結合生物辨識驗證並正確設定後,就能滿足 NIST 的 IAL2 數位身份標準要求。IAL2 要求遠端或實體身份驗證,這能夠透過我們提供的證件+生物辨識驗證解決方案來達成。透過 ID Analyzer,我們的 API 系統會自動評估使用者主張的身份資料其真實性,並驗證該使用者是否確實關聯於此真實身份。
我們不會販售您的資料
無紀錄政策
作為 SaaS 服務供應商,我們導入了無紀錄政策,確保客戶安心使用我們的服務。如果您在使用我們的服務時禁用了雲端儲存系統,我們將不會儲存任何您上傳至伺服器的資料,包含所有影像或個人資料。這能在萬一發生極其罕見的安全漏洞時,確保攻擊者無法取得客戶的任何個人資訊。
合規概覽
| 標準 | 適用範圍 | 符合的關鍵要求 |
|---|---|---|
| GDPR | 歐盟資料保護 | 資料最小化、被遺忘權、同意管理、可提供 DPA |
| ISO 27001 | 資訊安全 | 加密儲存、存取控制、事件回應、持續監控 |
| HIPAA | 醫療資料 | PHI 保護、稽核記錄、存取控制、可提供 BAA |
| NIST IAL-2 | 身份保證 | 證件驗證、生物辨識比對、活體偵測 |
ID Analyzer 如何確保合規
1. 設定驗證規則
根據您的法規要求設定驗證規則,包括接受的證件類型、所需的生物辨識檢查,以及適用於您所在司法管轄區的 AML 篩查閾值。
2. 證件與生物辨識驗證
客戶提交政府核發的身份證件和即時自拍照完成證件與生物辨識驗證,用於身份確認和活體偵測。
3. AML/PEP 篩查
系統針對全球資料庫進行 AML/PEP 篩查,包括制裁名單、政治敏感人物名冊和犯罪監控名單,以滿足反洗錢要求。
4. 稽核記錄生成
每次驗證都會自動產生完整的稽核記錄,記錄時間戳記、決策結果和監管機構所需的支持證據。
5. 加密儲存與保留
資料根據您設定的保留政策進行加密儲存,可選擇自動刪除、無紀錄處理或安全的 Vault 儲存,以滿足 GDPR、HIPAA 和其他資料保護要求。
常見問題
是的,ID Analyzer 完全符合 GDPR 規範,包含資料最小化、被遺忘權、同意管理,並為所有客戶提供資料處理協議(DPA)。
是的,ID Analyzer 已通過 ISO/IEC 27001 認證,具備加密資料儲存、嚴格的存取控制及持續安全監控。
是的,ID Analyzer 符合醫療保健和保險應用的 HIPAA 標準,可應要求提供商業夥伴協議(BAA)。
NIST 身份保證等級 2 要求透過證件驗證和生物辨識比對進行遠端身份驗證,ID Analyzer 完全支援此標準。
我們提供可選的無紀錄政策——驗證資料可在處理後自動刪除,或依據您的偏好安全儲存於交易保險庫中。
可以,企業客戶可取得 DPA 以符合 GDPR 及其他法規要求。