Cada vez es más frecuente que los servicios requieran de acreditación de identidad. Desde la pandemia, han germinado una multitud de servicios que, intentándose adaptar a la nueva realidad y legislación, han incorporado soluciones de onboarding digital, verificadores de identidad (IDV), conozca a su cliente (KYC) u otros términos equivalentes. El objetivo de estas soluciones es captar la imagen en vivo de la persona y verificar su identidad en base a un documento acreditativo utilizando reconocimiento facial (RF) y verificación de autenticidad del documento (DV).
En Bioidenti-Cell, S.A somos expertos en integración de soluciones de onboarding digital y dar servicios SaaS tanto de DV como de RF, así como ofrecer también componentes web para integrar en aplicaciones web que permiten resolver la complejidad de la captura en vivo de imágenes faciales y documentos. En más de 20 años de experiencia, nos hemos encontrado con muchas dificultades técnicas que hemos ido solucionando y que queremos compartir para poder tener una visión global del funcionamiento de estos servicios.
Es habitual que las páginas que ofrecen estos servicios no funcionen tan bien como el usuario/a desearía y merecería. Para finalizar un proceso de acreditación los usuarios/as de estas soluciones de onboarding digital deben destinar mucho tiempo para poder completarlo o, en muchas ocasiones, no lo consiguen y deben buscar soluciones alternativas o desplazarse para realizar la acreditación personalmente.
Las principales dificultades que desde un punto de vista técnico tienen estas soluciones es que deben ser operativas para multitud de documentos de identidad (DNI, NIE, TIE, CI, pasaporte,…) y, además, compatibles para todo tipo de dispositivos (tabletas, smartphones, portátiles o equipos de sobremesa) con distintas validaciones, resoluciones, cámaras…
Las empresas que tienen que implementar una solución de onboarding digital, deben analizar cuál debe ser la estrategia a seguir para implementar una buena solución y no “morir en el intento”.
Primero se debe identificar los distintos actores que intervienen en este tipo de soluciones:
- La aplicación: a la que deseamos integrar una verificación de identidad a ciertos procesos de alta
- DV: Un servicio que debe realizar la verificación del documento a partir de las imágenes y utilizando una base de datos de patrones que puede ser global y tiene que estar permanentemente actualizada
- RF: Un servicio que debe realizar el reconocimiento facial entre la imagen en vivo captada desde la cámara del cliente y la imagen extraída del documento
- Captura facialRE: Una interfaz para capturar la imagen facial en vivo del cliente
- Captura de documento: Una interfaz para capturar una o dos caras del documento acreditativo (DNI, Pasaporte, Carnet de Conducir, TIE…)
Cómo abordar la adecuación o implementación de la aplicación
Debe priorizarse la disponibilidad del servicio y la capacidad de evolución del mismo. Que los impactos en los sistemas externos no afecten al desarrollo de la aplicación de forma que desacoplemos cada sistema. Se debe abordar el proyecto con recursos propios, o bien, con el proveedor TIC responsable de nuestros sistemas de información, tener el control del sistema extremo-extremo y resolver cada integración minimizando los impactos y las interdependencias.
Desde el punto de vista de la empresa que debe dar el servicio, tiene que tener en cuenta que deberá responsabilizarse de estos datos sensibles y almacenarlos y tratarlos con todas las garantías. Este punto es clave y es el más delicado de todo el proceso de onboarding digital. Si ya es una alta responsabilidad ser el responsable del tratamiento de los datos de carácter personal gestionados, no se debe complicar el sistema generando réplicas en servicios externos por lo que es muy aconsejable tener certificado por el proveedor de servicios DV y RF que no se almacenan imágenes.
Es muy probable que la gestión deba almacenar estas imágenes. En este caso, se deben considerar las medidas de seguridad tanto respecto al cifrado como al control de su acceso y trazabilidad.
Dado que los clientes/as pueden operar desde múltiples plataformas, es importante establecer los requisitos respecto a crossplatform de la aplicación de onboarding digital. Una solución es orientar la aplicación en base a componentes web que permita integrar soluciones de captura de imágenes y control de calidad.
Cómo escoger el proveedor DV y RF
Debe considerarse los costes del servicio. Normalmente, estos proveedores ofrecen estos servicios mediante SaaS (Software as a Service) por lo que el coste depende del número de transacciones al año.
Respecto al DV, se debe buscar un proveedor que disponga de capacidad para mantener la vigencia de los patrones de documentos a lo largo del tiempo y con una perspectiva global. Aunque inicialmente se considere que el alcance pueda ser de ámbito nacional, en pocas ocasiones termina siendo 100% así y en la excepción está la complejidad de evolución. Partir de un servicio escalable en precio según alcance de documentos y transacciones por año será lo deseable.
Respecto al RF, se debe buscar algoritmos certificados a nivel NIST que garanticen un nivel de fiabilidad aceptable. Aunque existen muchas soluciones certificadas en NIST, se debe tener en cuenta que también hay muchas soluciones que no lo están y, por ello, es crucial que la elección se base en poder certificar su fiabilidad.
Otro aspecto a valorar es la gestión relativa a la protección de datos (RGPD). Si se opera en Europa, considerar proveedores que tengan el servicio hospedado en la UE puede ser clave para evitar incumplimientos sobrevenidos de la RGPD. Más adelante trataremos aspectos a considerar respecto a este tema.
Desde el punto de vista de integración TIC, deberá considerarse un proveedor que oriente sus soluciones a SDK, o sea, que tenga la capacidad para interactuar con los servicios directamente para tener el control de la propia aplicación. Este punto es clave para no depender de terceros y quedar anclados con soluciones propietarias. Se debe poder considerar la posibilidad de cambiar de proveedor sin traumas.
Separar el servicio RF del DV es un modo de desacoplar servicios y disponer de diversidad de proveedores para mantener el control de la aplicación.
Tanto para DV como para RF, es importante escoger un proveedor que esté certificado en ciberseguridad (ENS, ISO 27001) y que certifique que no almacena imágenes en sus sistemas más allá de lo indispensable para dar el servicio síncrono. Las empresas deben asegurarse que, las imágenes faciales y de documentos no queden hospedadas ni en las estaciones cliente ni en servidores externos al servicio más allá de lo imprescindible para poder hacer una buena gestión.
Cómo abordar la captura de la foto en vivo y su validación
Existen expertos en desarrollo de soluciones web, basados en React,Angular y otros frameworks de interfaz de usuario/a, que permiten una captura facial desde un componente web que pueda integrarse en la aplicación. Externalizar este componente es recomendable dada la complejidad de este tipo de soluciones. Si en un futuro, el departamento TIC responsable del desarrollo de toda la aplicación, tiene tiempo y recursos para invertir en innovación, se debe hacer con calma y partiendo de una solución ya operativa.
Las complejidades de esta solución son:
- Distintas resoluciones y modelos de cámaras
- Selección de cámara del dispositivo (frontal, trasera)
- Control sobre la orientación del dispositivo móvil o tableta
- Integración de librerías de detección facial
- Control de distancia
- Detección de múltiples caras expuestas
- Controles de sobreexposición, efectos en distintas texturas de piel
- Detección de imágenes borrosas o reflejos
- Control sobre ojos abiertos o cerrados
- Control sobre expresiones faciales
- Control de sombras
- Control de imagen real en vivo y no una foto fija, uso de máscara o vídeo (liveness)
En función de la importancia del servicio, algunos de estos puntos pueden ser más o menos importantes, pero, en cualquier caso, es crucial que el usuario/a consiga una captura fácil y de calidad, que posteriormente minimice errores de verificación y en caso que la foto deba incorporarse en algún documento, cumpla con las especificaciones ICAO 9303.
Cómo abordar la captura del documento y su validación
La estrategia recomendable es la misma que para la captura de la foto facial e integrar un componente web que nos ofrezca resolver su complejidad en una primera fase.
Las complejidades que debe afrontar este componente, más allá de las coincidentes con el componente de captura facial, son:
- Detección de márgenes
- Distintas medidas y proporciones de documentos (TD1, TD2, TD3)
- Detección de reflejos o zonas borrosas
- Reportar en vivo los mensajes para mejorar la captura
- Captura con temporizador, para facilitar la exposición y centrado
- Control de la medida incorporando marcos que faciliten la posición del documento
- Ajustar el calibrado dependiendo de la luz para optimizar la calidad
- Detección de la cara del documento y de la zona MRZ de lectura mecánica
- Control de captura de una cara o dos dependiendo del tipo de documento
Cómo resolver la integración de la aplicación con cada uno de los componentes identificados
La solución está en desacoplar servicios para facilitar el control y escalado de la solución y evitar dependencias futuras.
Orientar la aplicación separando claramente la parte de interfaz de usuario/a respecto a la de controlador de los servicios. Desde el punto de vista de la interfaz, integrar componentes web para las capturas facial y de documentos que nos asegure todas las validaciones relativas a la interfaz, con puntos de entrada/salida bien definidos. Se puede optar por un punto de entrada y salida único para toda la captura o resolverlo por separado, pero, en definitiva, el resultado final debe ser las 2 o 3 imágenes, los resultados finales a nivel de validación y, si es necesario, los vídeos en vivo que permitan almacenar las evidencias de la captura y que podrán ser supervisadas desde el backoffice de gestión de la aplicación. Este punto, ya dependerá del ámbito de la solución.
A nivel de controladores, se deberá preparar una interfaz con los servicios externos, que también podrán ser en base a un solo servicio o por separado. Aunque por separado se puede tener más control, es posible que a efectos de costes interese integrar un único servicio. El resultado esperado es un servicio que nos devuelva si el documento es válido, si el reconocimiento facial da HIT, los scores obtenidos y la extracción de todos los datos del documento junto con las respectivas verificaciones.
Se debe tener en cuenta que la verificación de un documento solo a través de la imagen capturada (luz blanca), no puede dar una certeza absoluta y que se pierden algunas verificaciones utilizando UV e infrarrojos. De todos modos, para la mayoría de usos, una verificación a través de imagen va a ser más que suficiente si se puede acompañar de verificaciones integradas con servicios nacionales que permitan verificar el estado del documento (robado, perdido, …).
Si se necesita un mayor control de autenticidad del documento, se puede integrar lectura NFC del chip del documento. Esta opción permitirá asegurar los datos extraídos con mayor certeza ya que se contrastan los extraídos mediante OCR con los registrados en el chip, reduciendo el margen de error debido a la calidad de la captura de la foto que solo puede verificarse contra la zona MRZ.
Para la integración con servicios de verificación de documentos se deberá colaborar con proveedores que nos permitan una verificación a todos los niveles para poder escalar la solución de onboarding digital de la empresa.
El proceso completo debe perseguir optimizar la captura de las imágenes en vivo que minimicen los errores de los servicios. Incrementar los controles, ofrecer una buena interfaz con mensajes claros para el usuario/a que faciliten que en el primer intento se consiga el objetivo de onboarding digital. Todos los errores posteriores que se deban gestionar de forma asíncrona generan elevadas cargas y provocan frustración al usuario/a con el riesgo de perder oportunidades de negocio debido a este retraso en la captación de altas.
Para quien tiene que contratar servicios de onboarding, este artículo intenta exponer algunas de las dificultades y condicionantes que se deben tener en cuenta durante la toma de decisiones y le recomendamos que se apoye en expertos como Bioidenti antes de “morir en el intento”.
Recent Comments