实时身份风险评分API实践：开发者指南

身份风险评分API提供了一个程序化接口，用于实时评估与用户身份相关的风险，帮助企业预防欺诈，满足KYC（了解您的客户）和AML（反洗钱）等监管义务，并在用户注册和交易过程中做出明智的决策。

理解身份风险评分

身份风险评分涉及评估与个人身份相关的各种数据点，以生成一个数值分数，该分数表示欺诈活动或不合规的可能性。这个分数是动态的，可以包含多种因素，从基本的身份属性到行为模式和历史数据。

哪些因素有助于身份风险评分？

一个可靠的身份风险评分API会考虑众多输入来构建全面的风险画像。这些输入可以包括：

• 身份文件验证：对护照和驾驶执照等政府颁发的身份证件进行真实性检查，包括自拍比对的活体检测。
• 数据一致性检查：将提供的信息（姓名、地址、出生日期）与多个权威数据源进行交叉比对，以识别差异。
• 制裁和PEP筛查：对照全球观察名单检查受制裁个人或政治公众人物（PEP）。
• 地址验证：确认所提供地址的有效性和存在性，通常使用水电费账单或公共记录（地址证明，PoA）。
• 电子邮件和电话验证：评估联系方式的年龄、声誉和活动。
• 行为生物识别：分析用户在注册过程中的交互模式（打字速度、鼠标移动）以检测异常。
• 设备指纹识别：识别独特的设备属性，以检测可疑设备或与过去欺诈活动相关的设备。
• 地理空间分析：将用户报告的位置与IP地址数据进行比较。

实时处理的作用

对于许多应用程序，特别是在金融服务、游戏或电子商务领域，实时风险评估至关重要。等待人工审核可能导致糟糕的用户体验、转化率损失和欺诈风险增加。实时身份风险评分API允许企业：

• 自动化决策：即时批准、拒绝或标记交易/注册以供进一步审核。
• 改善用户体验：通过提供即时验证，减少合法用户的摩擦。
• 立即缓解欺诈：在造成经济损失之前阻止可疑活动。
• 优化资源分配：将人工审核精力集中在真正高风险的案例上。

集成身份风险评分API：开发者工作流程

集成身份风险评分API通常遵循结构化方法，允许开发者将强大的欺诈和合规性检查直接嵌入到其应用程序工作流程中。

1. API密钥和认证

首先，您需要一个API密钥并了解认证机制，通常是在请求头中或作为查询参数发送的API密钥。例如，Didit使用带有Bearer Token的Authorization请求头。

2. 数据收集和准备

从应用程序的前端或后端收集必要的用户数据。这可能包括：

• 个人详细信息：firstName、lastName、dateOfBirth、address、email、phoneNumber
• 身份文件详细信息：documentType、documentNumber、issueDate、expiryDate、countryOfIssuance
• 图像：documentFrontImage、documentBackImage、selfieImage
• 上下文数据：ipAddress、deviceFingerprint

确保数据根据API的规范正确格式化。通常，身份文件图像以base64编码字符串或直接文件上传的形式发送。

3. 发出API请求

向身份风险评分API端点发送POST请求。请求正文将包含收集到的用户数据。这是一个使用JSON负载的概念性示例：

{
  "customer_id": "user_abc123",
  "first_name": "Jane",
  "last_name": "Doe",
  "dob": "1990-01-15",
  "address": {
    "street": "123 Main St",
    "city": "Anytown",
    "state": "CA",
    "zip": "90210",
    "country": "US"
  },
  "email": "jane.doe@example.com",
  "phone_number": "+15551234567",
  "document_verification": {
    "document_type": "PASSPORT",
    "document_front_image": "data:image/jpeg;base64,...",
    "selfie_image": "data:image/jpeg;base64,..."
  },
  "ip_address": "203.0.113.45",
  "transaction_context": {
    "amount": 100.00,
    "currency": "USD"
  }
}

4. 处理API响应

收到响应后，解析JSON负载。响应通常会包括：

• 一个risk_score（例如，0-100，分数越高风险越高）。
• 一个risk_level（例如，LOW、MEDIUM、HIGH）。
• 详细的checks或flags，指示具体发现（例如，DOCUMENT_EXPIRED、SANCTIONS_MATCH、ADDRESS_MISMATCH）。
• 一个recommendation（例如，APPROVE、REVIEW、REJECT）。

{
  "status": "success",
  "verification_id": "didit_check_xyz789",
  "risk_score": 75,
  "risk_level": "HIGH",
  "recommendation": "REVIEW",
  "checks": [
    {
      "type": "DOCUMENT_AUTHENTICITY",
      "status": "PASS",
      "details": "Document appears authentic"
    },
    {
      "type": "LIVENESS",
      "status": "PASS",
      "details": "Liveness detected"
    },
    {
      "type": "SANCTIONS_SCREENING",
      "status": "FLAGGED",
      "details": "Potential match found on OFAC list"
    },
    {
      "type": "ADDRESS_VERIFICATION",
      "status": "FAIL",
      "details": "Address not found in public records"
    }
  ],
  "metadata": {
    "timestamp": "2024-04-23T10:30:00Z"
  }
}

5. 实施决策逻辑

根据身份风险评分API返回的risk_score、risk_level和recommendation，您的应用程序后端将执行适当的操作：

• 低风险：继续用户注册或交易。
• 中风险：路由到人工审核队列，请求额外文件，或应用逐步认证。
• 高风险：立即阻止用户/交易，如果法规要求，可能生成SAR（可疑活动报告）。

使用身份风险评分API的最佳实践

为了最大限度地发挥身份风险评分API集成的有效性：

• 定义明确的风险阈值：与合规和欺诈团队合作，为您的特定业务背景确定哪些分数对应于LOW、MEDIUM和HIGH风险。
• 实施回退机制：如果API暂时不可用怎么办？确保您的系统能够优雅地处理故障。
• 监控和迭代：定期审查您的风险评分模型的性能。您是否有效地捕获了欺诈？您是否拒绝了太多合法用户？根据需要调整您的阈值和数据输入。
• 保护API密钥：将API密钥视为敏感凭证。安全存储它们（例如，环境变量、秘密管理服务），并避免将它们直接嵌入到客户端代码中。
• 处理数据隐私：确保所有收集并发送到API的数据都符合相关数据保护法规（例如，GDPR、CCPA）。只收集风险评估所需的数据。
• 利用Webhooks：如果API提供webhooks，请使用它们进行异步更新，特别是对于可能需要更长时间的检查（例如，广泛的背景调查）。

Didit的身份风险评分方法

Didit提供身份和欺诈基础设施，提供强大的身份风险评分API，可无缝集成到您现有的工作流程中。我们的平台整合了1,000多个数据源，并利用开放的市场模块，为220多个国家和地区提供全面的风险评估，支持14,000多种文档类型和48种以上语言。

我们的API返回精确的风险评分和详细的洞察，使您能够为用户验证（了解您的客户/KYC，了解您的业务/KYB）和欺诈预防（交易监控，钱包筛查/KYT（了解您的交易））做出自动化的实时决策。无论您需要验证用户、验证其身份还是监控其交易，Didit的identity risk scoring API都能提供必要的智能。

集成可在短短5分钟内完成。Didit采用公开的按使用付费定价模式，无最低消费，我们每月提供500次免费检查，助您入门。包括风险评分在内的完整身份验证仅需0.30美元起。

Didit已通过SOC 2 Type 1和ISO/IEC 27001认证，我们的iBeta Level 1 PAD认证确保了可靠的活体检测。我们也是唯一获得欧盟成员国政府（西班牙财政部/SEPBLAC/CNMV）正式认证，证明比现场验证更安全的提供商，这突显了我们对安全和合规的承诺。

主要收获

• 身份风险评分API对于实时欺诈预防和合规性至关重要。
• 它聚合来自多个来源的数据，以提供全面的风险评估。
• 集成涉及API密钥管理、数据准备、发出请求和处理响应。
• 有效的实施需要明确的风险阈值、回退机制、持续监控和严格的数据隐私。
• Didit提供可靠的identity risk scoring API作为其身份和欺诈基础设施的一部分，具有快速集成、透明定价和广泛的全球覆盖。

常见问题

什么是身份风险评分？

身份风险评分是评估与个人身份相关的各种数据点，以生成一个数值分数，预测欺诈活动或不合规可能性的过程。

实时身份风险评分API如何使我的业务受益？

它能够为用户注册和交易提供即时决策，减少人工审核队列，通过最大限度地减少合法用户的摩擦来改善用户体验，并立即缓解欺诈风险。

我需要向身份风险评分API发送哪些数据？

您通常发送个人详细信息（姓名、地址、出生日期）、身份文件信息（类型、号码、图像）、联系方式（电子邮件、电话）以及IP地址或设备指纹等上下文数据。

身份风险评分API是否符合KYC和AML等法规？

是的，一个好的identity risk scoring API旨在通过提供制裁、PEP（政治公众人物）筛查、文件验证和数据一致性所需的检查来支持KYC（了解您的客户）和AML（反洗钱）合规性。

我能多快集成Didit的身份风险评分API？

Didit旨在实现快速集成，通常只需5分钟即可开始使用我们的API。我们全面的文档和SDK有助于提供流畅的开发者体验。

开始使用Didit

Didit是身份和欺诈的基础设施——一个API，公开的按使用付费定价，每月500次免费验证。将用户验证添加到您的流程中，并在5分钟内完成集成。

• 用户验证 — 查看其工作原理和费用。
• 阅读文档 — API参考和集成指南。
• 免费开始 — 每月500次验证，无需信用卡。