法規遵循

什麼是身份驗證的法規遵循？

身份驗證的法規遵循是指滿足政府機關與產業團體為驗證客戶身分所訂定的法律要求。這包括 KYC（認識你的客戶）、AML（反洗錢）、GDPR 資料保護、HIPAA 醫療隱私與 ISO 27001 資訊安全標準。ID Analyzer 透過自動化證件驗證、生物特徵查核與完整的稽核軌跡，協助企業滿足這些要求。

符合 GDPR

ID Analyzer 遵循設計階段及預設即納入資料保護的嚴格原則，我們已實施嚴謹的技術與組織措施，以保護透過我們服務處理的所有身分資訊。我們經常進行資料保護影響評估，並訂有嚴格的內部安全政策，僅在獲得您明確許可後，允許具最高層級權限的員工存取客戶資訊。為符合 GDPR，我們所有客戶皆可使用歐盟 API 端點，您客戶資訊的傳輸與儲存將不會逾越歐盟邊界。在個人資訊的處理與儲存方面，我們僅與本身即符合 GDPR 的知名資料中心供應商合作。

ISO/IEC 27001

ISO/IEC 27001 是由國際標準化組織（ISO）發布的資訊安全管理標準，旨在使組織持有的資訊更加安全。組織須通過認證機構評核一系列複雜的稽核，方能取得 ISO 27001 認證。ID Analyzer 已獲 BSI 頒發 ISO 27001 認證，確保所有客戶在使用我們服務時的安心。為從頭到尾強化我們服務的安全，我們僅與同樣通過 ISO 27001 認證的第三方供應商往來。

HIPAA 合規

ID Analyzer 廣受醫療服務提供者與保險業者採用，以驗證現場與遠端客戶的身分，尤其在遠距醫療產業。簡而言之，使用 ID Analyzer 實施病患／客戶註冊開戶解決方案，並不會影響貴實體的 HIPAA 合規狀態，原因很簡單，因為貴實體僅將身分資訊傳遞給我們，而未附帶任何可連結至當事人的相關健康資訊。我們協助您將使用者身分數位化並加以驗證，然而，我們不處理也不儲存客戶在 HIPAA 法規下所定義的任何 PHI。將來自 ID Analyzer 的身分資訊連同健康資訊安全儲存，以維持 HIPAA 合規，是貴組織的責任。

符合 NIST IAL-2

ID Analyzer 的 ID Verification API 與 DocuPass，在正確設定生物特徵驗證的情況下，可滿足 NIST IAL2 所訂定的所有數位身分要求。IAL2 引入了遠端或實體在場身分核實的需求，這可透過我們的證件 + 生物特徵驗證解決方案兩者取得。透過 ID Analyzer，我們的 API 系統會自動評估您使用者所聲稱身分在現實世界中的存在，並驗證您的使用者與此現實世界身分有適當的關聯。

不留紀錄政策

身為 SaaS 供應商，我們推出了不留紀錄政策，以確保所有客戶在使用我們服務時的安心。若您在使用我們服務時停用了我們的 Vault 儲存系統，我們將不會儲存您上傳至我們伺服器的任何資訊，包括所有影像或個人資料。這確保在極為罕見的安全外洩情況下，攻擊者將無法取得您客戶的任何個人資訊。

ID Analyzer 如何確保合規

1. 設定驗證規則

設定符合您法規要求的驗證規則，包括接受的證件類型、所需的生物特徵查核，以及您司法管轄區的 AML 篩查門檻。

2. 證件與生物特徵驗證

客戶提交其政府核發的證件與即時自拍，以進行身分確認與活體檢測，完成證件與生物特徵驗證。

3. AML/PEP 篩查

系統比對全球資料庫進行 AML/PEP 篩查，包括制裁名單、政治公眾人物名錄與犯罪監控名單，以滿足反洗錢要求。

4. 產生稽核軌跡

每次驗證都會自動產生完整的稽核軌跡，記錄時間戳記、判定結果，以及監管機關所要求的佐證。

5. 加密儲存與保留

資料會依您設定的保留政策加密儲存，並提供自動刪除、不留紀錄處理或安全 Vault 儲存等選項，以滿足 GDPR、HIPAA 及其他資料保護要求。

合規一覽

標準	範疇	已滿足的關鍵要求
GDPR	歐盟資料保護	資料最小化、被遺忘權、同意管理、可提供 DPA
ISO 27001	資訊安全	加密儲存、存取控制、事件回應、持續監控
HIPAA	醫療資料	PHI 保護、稽核軌跡、存取控制、可提供 BAA
NIST IAL-2	身分保證	證件驗證、生物特徵比對、活體檢測