监管合规

什么是身份验证的监管合规？

身份验证中的监管合规是指满足政府机关和行业组织为验证客户身份所设定的法律要求。这包括 KYC（了解你的客户）、AML（反洗钱）、GDPR 数据保护、HIPAA 医疗隐私及 ISO 27001 信息安全标准。ID Analyzer 通过自动化证件验证、生物特征检查及全面的审计轨迹，帮助企业满足这些要求。

符合 GDPR 规范

ID Analyzer 遵循从设计和默认层面进行数据保护的严格原则，我们已实施严格的技术和组织措施，以保护通过我们服务处理的所有身份信息。我们经常进行数据保护影响评估，并制定了严格的内部安全政策，仅允许获得最高级别授权的员工在您给予明确许可后访问客户信息。为遵守 GDPR，我们所有客户都可访问欧盟 API 端点，您客户信息的传输和存储均不会越出欧盟边界。在个人信息的处理和存储方面，我们只与本身符合 GDPR 规范、声誉良好的数据中心提供商合作。

ISO/IEC 27001

ISO/IEC 27001 是由国际标准化组织发布的信息安全管理标准，旨在使组织所持有的信息更加安全。一个组织必须接受认证机构进行的一系列复杂审核，方能获得 ISO 27001 认证。ID Analyzer 已获得 BSI 颁发的 ISO 27001 认证，以确保所有客户在使用我们服务时安心无忧。为端到端地增强我们服务的安全性，我们只与同样通过 ISO 27001 认证的第三方提供商往来。

HIPAA 合规

ID Analyzer 被医疗服务提供商和保险公司广泛用于验证现场和远程客户的身份，尤其是在远程医疗行业。简而言之，使用 ID Analyzer 实施患者/客户注册开户解决方案不会影响您机构的 HIPAA 合规状态，原因很简单：您的机构仅向我们传递身份信息，而不附带任何可与个人关联的相关健康信息。我们帮助您数字化并验证用户身份，然而，我们既不处理也不存储 HIPAA 法规所规定的客户任何受保护健康信息（PHI）。将来自 ID Analyzer 的身份信息连同健康信息一起安全存储，以保持 HIPAA 合规，是贵组织的责任。

符合 NIST IAL-2

ID Analyzer 的 ID Verification API 和 DocuPass 在正确配置生物特征验证后，可满足 NIST IAL2 所规定的所有数字身份要求。IAL2 提出了进行远程或现场身份核实的需求，使用我们的证件 + 生物特征验证解决方案均可实现这一点。借助 ID Analyzer，我们的 API 系统会自动评估您用户所声称身份的真实世界存在性，并验证您的用户与该真实世界身份是否恰当关联。

无日志策略

作为 SaaS 提供商，我们推出了无日志策略，以确保所有客户在使用我们服务时安心无忧。如果您在使用我们服务时禁用了 vault 存储系统，我们将不会存储您上传到我们服务器的任何信息，包括所有图像或个人数据。这确保了在极其罕见的安全漏洞情况下，攻击者也无法获取您客户的任何个人信息。

ID Analyzer 如何确保合规

1. 配置验证规则

配置符合您监管要求的验证规则，包括接受的证件类型、所需的生物特征检查，以及适用于您司法管辖区的 AML 筛查阈值。

2. 证件与生物特征验证

客户通过提交其政府签发的证件和实时自拍进行身份确认和活体检测，从而完成证件与生物特征验证。

3. AML/PEP 筛查

系统比对包括制裁名单、政治公众人物登记册及犯罪监控名单在内的全球数据库执行 AML/PEP 筛查，以满足反洗钱要求。

4. 审计轨迹生成

系统会为每次验证自动生成完整的审计轨迹，记录时间戳、决策结果及监管机构所要求的佐证证据。

5. 加密存储与留存

数据会按照您配置的留存策略进行加密和存储，并提供自动删除、无日志处理或安全 vault 存储等选项，以满足 GDPR、HIPAA 及其他数据保护要求。

合规一览

标准	范围	满足的关键要求
GDPR	欧盟数据保护	数据最小化、被遗忘权、同意管理、提供 DPA
ISO 27001	信息安全	加密存储、访问控制、事件响应、持续监控
HIPAA	医疗数据	PHI 保护、审计轨迹、访问控制、提供 BAA
NIST IAL-2	身份保障	证件验证、生物特征比对、活体检测