Cada vegada és més freqüent que els serveis requereixin l’acreditació d’identitat. Des de la pandèmia, ha sorgit una multitud de serveis que, intentant adaptar-se a la nova realitat i legislació, han incorporat solucions d’onboarding digital, verificadors d’identitat (IDV), coneixeu el vostre client (KYC) o altres termes equivalents. L’objectiu d’aquestes solucions és captar la imatge en viu de la persona i verificar-ne la identitat en funció d’un document acreditatiu utilitzant reconeixement facial (RF) i verificació d’autenticitat del document (DV).
A Bioidenti-Cell, S.A som experts en integració de solucions d’onboarding digital i oferim serveis SaaS tant de DV com de RF, així com components web per integrar en aplicacions web que permeten resoldre la complexitat de la captura en viu d’imatges facials i documents. Amb més de 20 anys d’experiència, ens hem trobat amb moltes dificultats tècniques que hem anat solucionant, i volem compartir la nostra visió global sobre el funcionament d’aquests serveis.
És habitual que les pàgines que ofereixen aquests serveis no funcionin tan bé com els usuaris desitjarien o mereixerien. Per completar un procés d’acreditació, els usuaris d’aquestes solucions d’onboarding digital han de dedicar molt de temps, i en moltes ocasions no ho aconsegueixen i han de buscar solucions alternatives o desplaçar-se per realitzar l’acreditació personalment.
Les principals dificultats tècniques d’aquestes solucions són que han de ser operatives per a una gran varietat de documents d’identitat (DNI, NIE, TIE, CI, passaport, etc.) i, a més, compatibles amb tota classe de dispositius (tauletes, telèfons intel·ligents, portàtils o equips de sobretaula), amb diferents validacions, resolucions i càmeres.
Les empreses que han d’implementar una solució d’onboarding digital han d’analitzar quina ha de ser l’estratègia a seguir per implementar una bona solució i no “morir en l’intent”.
Primer s’ha d’identificar els diferents actors que intervenen en aquest tipus de solucions:
- L’aplicació: aquella a la qual desitgem integrar una verificació d’identitat en certs processos d’alta.
- DV: Un servei que ha de fer la verificació del document a partir de les imatges i utilitzant una base de dades de patrons que pot ser global i que ha d’estar actualitzada permanentment.
- RF: Un servei que ha de fer el reconeixement facial entre la imatge en viu captada des de la càmera del client i la imatge extreta del document.
- Captura facial: Una interfície per capturar la imatge facial en viu del client.
- Captura de document: Una interfície per capturar una o dues cares del document acreditatiu (DNI, passaport, carnet de conduir, TIE, etc.).
Com abordar l’adequació o implementació de l’aplicació
S’ha de prioritzar la disponibilitat del servei i la capacitat d’evolució d’aquest. Els impactes en els sistemes externs no han d’afectar el desenvolupament de l’aplicació, de manera que desacoblem cada sistema. El projecte s’ha d’abordar amb recursos propis o amb el proveïdor TIC responsable dels nostres sistemes d’informació, tenint el control del sistema extrem a extrem i resolent cada integració minimitzant els impactes i les interdependències.
Des del punt de vista de l’empresa que ha de donar el servei, s’ha de tenir en compte que cal responsabilitzar-se d’aquestes dades sensibles i emmagatzemar-les i tractar-les amb totes les garanties. Aquest punt és clau i és el més delicat de tot el procés d’onboarding digital. Si ja és una gran responsabilitat ser el responsable del tractament de dades de caràcter personal, no s’ha de complicar el sistema generant rèpliques en serveis externs, per la qual cosa és molt aconsellable que el proveïdor de serveis de DV i RF certifiqui que no s’emmagatzemen imatges.
És molt probable que s’hagin d’emmagatzemar aquestes imatges. En aquest cas, s’han de considerar les mesures de seguretat tant pel que fa al xifrat com al control del seu accés i traçabilitat.
Donat que els clients poden operar des de múltiples plataformes, és important establir els requisits respecte a la compatibilitat entre plataformes de l’aplicació d’onboarding digital. Una solució és orientar l’aplicació d’acord amb components web que permetin integrar solucions de captura d’imatges i control de qualitat.
Com escollir el proveïdor DV i RF
S’ha de considerar el cost del servei. Normalment, aquests proveïdors ofereixen aquests serveis mitjançant SaaS (Software as a Service), per la qual cosa el cost depèn del nombre de transaccions a l’any.
Pel que fa a DV, cal buscar un proveïdor amb capacitat per mantenir la vigència dels patrons de documents al llarg del temps i amb una perspectiva global. Tot i que inicialment es consideri que l’abast pot ser d’àmbit nacional, en poques ocasions acaba sent així al 100%, i les excepcions compliquen l’evolució. Partir d’un servei escalable en funció de l’abast de documents i transaccions anuals serà el més desitjable.
Pel que fa a RF, s’ha de buscar algoritmes certificats a nivell NIST que garanteixin un nivell de fiabilitat acceptable. Tot i que hi ha moltes solucions certificades pel NIST, també n’hi ha moltes que no ho estan, de manera que és crucial basar l’elecció a poder certificar la seva fiabilitat.
Un altre aspecte a valorar és la gestió relacionada amb la protecció de dades (RGPD). Si es treballa a Europa, considerar proveïdors que tinguin el servei allotjat a la UE pot ser clau per evitar incompliments sobrevinguts del RGPD. Més endavant tractarem aquest tema amb més detall.
Des del punt de vista d’integració TIC, caldrà considerar un proveïdor que orienti les seves solucions a SDK, és a dir, que tingui la capacitat d’interactuar directament amb els serveis per mantenir el control de l’aplicació. Aquest punt és clau per evitar dependre de tercers i quedar ancorat en solucions propietàries. Caldrà considerar la possibilitat de canviar de proveïdor sense traumes.
Separar el servei RF del DV és una manera de desacoblar serveis i disposar de diversitat de proveïdors per mantenir el control de l’aplicació.
Tant per DV com per RF, és important escollir un proveïdor que estigui certificat en ciberseguretat (ENS, ISO 27001) i que certifiqui que no emmagatzema imatges en els seus sistemes més enllà del necessari per oferir el servei síncron. Les empreses han d’assegurar-se que les imatges facials i de documents no quedin allotjades ni en les estacions dels clients ni en servidors externs al servei més enllà de l’imprescindible per poder gestionar-les adequadament.
Com abordar la captura de la foto en viu i la seva validació
Hi ha experts en desenvolupament de solucions web, basades en React, Angular i altres frameworks d’interfície d’usuari/ària, que permeten una captura facial des d’un component web que es pugui integrar a l’aplicació. Externalitzar aquest component és recomanable donada la complexitat d’aquest tipus de solucions. Si en un futur, el departament TIC responsable del desenvolupament de tota l’aplicació, té temps i recursos per invertir en innovació, s’ha de fer amb calma i partint d’una solució ja operativa.
Les complexitats d’aquesta solució són:
- Diferents resolucions i models de càmeres
- Selecció de càmera del dispositiu (frontal, posterior)
- Control sobre l’orientació del dispositiu mòbil o tauleta
- Integració de llibreries de detecció facial
- Control de distància
- Detecció de múltiples cares exposades
- Controls de sobreexposició, efectes en diferents textures de pell
- Detecció d’imatges borroses o reflexos
- Control sobre ulls oberts o tancats
- Control sobre expressions facials
- Control d’ombres
- Control d’imatge real en viu i no una foto fixa, ús de màscara o vídeo (liveness)
En funció de la importància del servei, alguns d’aquests punts poden ser més o menys rellevants, però, en qualsevol cas, és crucial que l’usuari/ària aconsegueixi una captura fàcil i de qualitat, que posteriorment minimitzi errors de verificació i, si la foto s’ha d’incorporar en algun document, compleixi amb les especificacions ICAO 9303.
Com abordar la captura del document i la seva validació
La mateixa estratègia recomanada per a la captura de la foto facial s’ha d’aplicar per a la captura de documents, i cal integrar un component web que ens resolgui aquesta complexitat en una primera fase.
Les complexitats que ha d’afrontar aquest component, més enllà de les coincidents amb el component de captura facial, són:
- Detecció de marges
- Diferents mides i proporcions de documents (TD1, TD2, TD3)
- Detecció de reflexos o zones borroses
- Informar en viu els missatges per millorar la captura
- Captura amb temporitzador, per facilitar l’exposició i centrament
- Control de la mida incorporant marcs que facilitin la posició del document
- Ajustar el calibratge segons la llum per optimitzar la qualitat
- Detecció de la cara del document i de la zona MRZ de lectura mecànica
- Control de captura d’una cara o dues segons el tipus de document
Com resoldre la integració de l’aplicació amb cadascun dels components identificats
La solució està a desacoblar serveis per facilitar el control i escalabilitat de la solució i evitar futures dependències.
Cal orientar l’aplicació separant clarament la part d’interfície d’usuari/ària respecte a la de controlador dels serveis. Des del punt de vista de la interfície, s’ha d’integrar components web per a les captures facials i de documents que ens assegurin totes les validacions relatives a la interfície, amb punts d’entrada/sortida ben definits. Es pot optar per un punt d’entrada i sortida únic per a tota la captura o resoldre-ho per separat, però, en definitiva, el resultat final ha de ser les 2 o 3 imatges, els resultats finals a nivell de validació i, si cal, els vídeos en viu que permetin emmagatzemar les evidències de la captura i que podran ser supervisades des del backoffice de gestió de l’aplicació. Aquest punt dependrà de l’abast de la solució.
En l’àmbit de controladors, s’haurà de preparar una interfície amb els serveis externs, que també podran ser d’acord amb un sol servei o per separat. Tot i que per separat es pot tenir més control, pot interessar integrar un únic servei per raons de costos. El resultat esperat és un servei que ens retorni si el document és vàlid, si el reconeixement facial dona HIT, els scores obtinguts i l’extracció de totes les dades del document juntament amb les respectives verificacions.
Cal tenir en compte que la verificació d’un document només a través de la imatge capturada (llum blanca), no pot donar una certesa absoluta i que es perden algunes verificacions utilitzant UV i infrarojos. Tot i això, per a la majoria d’usos, una verificació a través d’imatge serà més que suficient si es pot acompanyar de verificacions integrades amb serveis nacionals que permetin verificar l’estat del document (robat, perdut, …).
Si es necessita un control més gran de l’autenticitat del document, es pot integrar lectura NFC del xip del document. Aquesta opció permetrà assegurar les dades extretes amb més certesa, ja que es contrasten les extretes mitjançant OCR amb les registrades al xip, reduint el marge d’error a causa de la qualitat de la captura de la foto que només pot verificar-se contra la zona MRZ.
Per a la integració amb serveis de verificació de documents, caldrà col·laborar amb proveïdors que ens permetin una verificació a tots els nivells per escalar la solució d’onboarding digital de l’empresa.
El procés complet ha de buscar optimitzar la captura de les imatges en viu per minimitzar els errors dels serveis. Incrementar els controls, oferir una bona interfície amb missatges clars per a l’usuari/ària que facilitin que en el primer intent s’assoleixi l’objectiu d’onboarding digital. Tots els errors posteriors que s’hagin de gestionar de manera asíncrona generen elevades càrregues i provoquen frustració a l’usuari/ària amb el risc de perdre oportunitats de negoci a causa d’aquest retard en la captació d’altes.
Per a qui ha de contractar serveis d’onboarding, aquest article intenta exposar algunes de les dificultats i condicionants que s’han de tenir en compte durant la presa de decisions, i recomanem que es recolzi en experts com Bioidenti abans de “morir en l’intent”.
Recent Comments