Menyesuaikan Verifikasi Identitas dengan Risiko: Menerapkan Strategi LoA
Menerapkan strategi LoA (Level of Assurance) verifikasi identitas yang efektif memungkinkan bisnis untuk secara dinamis menyesuaikan intensitas verifikasi berdasarkan risiko transaksi, mengoptimalkan pengalaman pengguna dan biaya
Strategi LoA (Level of Assurance) verifikasi identitas melibatkan penyesuaian kekakuan dan kedalaman pemeriksaan identitas secara dinamis berdasarkan risiko yang dinilai dari pengguna atau transaksi. Pendekatan ini melampaui proses verifikasi satu ukuran untuk semua, memungkinkan bisnis untuk mengoptimalkan sumber daya, meningkatkan pengalaman pengguna, dan memenuhi persyaratan peraturan dengan lebih efisien.
Memahami Tingkat Jaminan dalam Verifikasi Identitas
Level of Assurance (LoA) adalah kerangka kerja yang digunakan untuk mengkategorikan kepercayaan pada identitas digital yang diklaim. LoA yang lebih tinggi menunjukkan kepastian yang lebih besar bahwa seseorang adalah siapa yang mereka klaim. Konsep ini berasal dari sektor pemerintah dan keamanan tetapi sekarang sangat penting untuk aplikasi komersial, terutama di industri yang diatur seperti layanan keuangan, fintech, dan game online.
Umumnya, kerangka kerja LoA mendefinisikan beberapa tingkatan, seringkali berkisar dari 1 hingga 4 atau 5, dengan persyaratan yang meningkat untuk bukti dan kekakuan verifikasi di setiap tingkatan:
- LoA 1 (Jaminan Rendah): Penegasan identitas dasar. Ini mungkin melibatkan penegasan diri atau pertanyaan otentikasi berbasis pengetahuan (KBA) yang mudah dikompromikan. Cocok untuk aktivitas berisiko rendah di mana dampak kompromi identitas minimal.
- LoA 2 (Jaminan Sedang): Membutuhkan beberapa bentuk bukti di luar penegasan diri. Ini bisa termasuk memverifikasi alamat email, nomor telepon, atau mencocokkan data dengan satu sumber yang dapat diandalkan. Sering digunakan untuk aktivitas dengan risiko sedang, di mana serangan yang berhasil dapat menyebabkan kerusakan terbatas.
- LoA 3 (Jaminan Tinggi): Melibatkan proses verifikasi yang andal, biasanya menggabungkan beberapa sumber data dan membutuhkan bukti identitas yang kuat. Contohnya termasuk verifikasi dokumen (misalnya, paspor, SIM) dikombinasikan dengan deteksi liveness, atau verifikasi terhadap database pemerintah. Penting untuk transaksi atau aktivitas berisiko tinggi di mana kompromi identitas dapat menyebabkan kerugian finansial yang signifikan atau sanksi peraturan.
- LoA 4 (Jaminan Sangat Tinggi): Tingkat yang paling ketat, seringkali membutuhkan verifikasi langsung, pendaftaran biometrik, atau perangkat keras khusus. Dicadangkan untuk skenario risiko yang sangat tinggi, seperti mengakses informasi rahasia atau memulai transfer bernilai tinggi di lingkungan yang sangat diatur.
Mengapa Strategi LoA Dinamis Sangat Penting
Pendekatan statis terhadap verifikasi identitas – menerapkan tingkat pengawasan yang sama untuk setiap pengguna atau transaksi – tidak efisien dan seringkali kontraproduktif. Ini dapat menyebabkan:
- Pengalaman Pengguna yang Buruk: Verifikasi yang terlalu memberatkan untuk aktivitas berisiko rendah dapat menghalangi pengguna yang sah.
- Peningkatan Biaya: Menerapkan pemeriksaan jaminan tinggi secara universal meningkatkan biaya operasional secara tidak perlu.
- Kesenjangan Kepatuhan: Verifikasi yang kurang pada skenario berisiko tinggi dapat membuat bisnis rentan terhadap penipuan, pencucian uang, dan denda peraturan.
- Pengurangan Deteksi Penipuan: Sistem statis mungkin melewatkan indikator penipuan halus yang akan ditandai oleh pendekatan dinamis berbasis risiko untuk pemeriksaan lebih dalam.
Dengan menerapkan strategi LoA verifikasi identitas, bisnis dapat menyesuaikan pendekatan mereka, memastikan bahwa tingkat verifikasi yang tepat diterapkan pada waktu yang tepat.
Membangun Strategi LoA Verifikasi Identitas yang Efektif
Mengembangkan strategi LoA verifikasi identitas yang andal melibatkan beberapa langkah kunci:
1. Definisikan Tingkat dan Pemicu Risiko
Mulailah dengan mengkategorikan berbagai tingkat risiko yang terkait dengan layanan, pengguna, dan transaksi Anda. Ini membutuhkan penilaian risiko yang menyeluruh. Faktor-faktor yang perlu dipertimbangkan meliputi:
- Atribut Pengguna: Pengguna baru vs. pengguna yang sudah ada, lokasi geografis (yurisdiksi berisiko tinggi), status orang yang terpapar politik (PEP), penyebutan media yang merugikan.
- Atribut Transaksi: Nilai transaksi, frekuensi, jenis (misalnya, kripto, transfer internasional), asal/tujuan dana.
- Pola Perilaku: Aktivitas login yang tidak biasa, perubahan cepat dalam detail akun, upaya untuk mengakses informasi sensitif.
Untuk setiap tingkat risiko (misalnya, rendah, sedang, tinggi), definisikan pemicu spesifik yang akan meningkatkan pengguna atau transaksi ke tingkat tersebut. Misalnya, pengguna baru dari negara berisiko tinggi yang mencoba transaksi besar mungkin secara otomatis ditetapkan ke tingkat risiko tinggi.
2. Petakan LoA ke Tingkat Risiko
Setelah tingkat risiko ditentukan, petakan setiap tingkat ke LoA yang sesuai. Ini menciptakan korelasi langsung antara risiko dan intensitas verifikasi. Misalnya:
- Risiko Rendah: LoA 1 atau 2. Mungkin memerlukan verifikasi email/telepon dasar atau pemeriksaan dokumen ringan.
- Risiko Sedang: LoA 2 atau 3. Mungkin melibatkan verifikasi dokumen dengan liveness, atau pemeriksaan data yang lebih komprehensif terhadap beberapa sumber.
- Risiko Tinggi: LoA 3 atau 4. Biasanya membutuhkan verifikasi dokumen yang andal dengan liveness, pemeriksaan database untuk PEP/sanksi, dan berpotensi uji tuntas yang ditingkatkan (EDD) atau tinjauan manual.
3. Pilih Metode Verifikasi yang Sesuai
Didit menawarkan rangkaian modul komprehensif yang dapat digabungkan untuk mencapai berbagai persyaratan LoA. Ini termasuk:
- Verifikasi Dokumen: Analisis otomatis ID yang dikeluarkan pemerintah (paspor, SIM) untuk keaslian, biasanya dikombinasikan dengan pengenalan karakter optik (OCR) dan tindakan anti-spoofing.
- Deteksi Liveness: Pemeriksaan biometrik (misalnya, pengenalan wajah, liveness pasif) untuk memastikan orang yang menunjukkan dokumen adalah individu yang hidup dan hadir dan bukan spoof.
- Pemeriksaan Database: Verifikasi terhadap database yang andal untuk atribut identitas, alamat, nomor telepon, dan pemeriksaan sanksi, daftar pantauan, dan status PEP.
- Bukti Alamat (PoA): Verifikasi alamat tempat tinggal menggunakan tagihan utilitas, laporan bank, atau dokumen resmi.
- Verifikasi Bisnis (KYB): Untuk platform B2B, memverifikasi pendaftaran bisnis, kepemilikan manfaat (UBO (ultimate beneficial owner)), dan status entitas hukum.
- Pemantauan Transaksi (AML/CFT): Pemantauan transaksi berkelanjutan untuk pola mencurigakan yang mengindikasikan pencucian uang atau pendanaan teroris.
Strategi LoA verifikasi identitas yang efektif akan secara dinamis mengatur metode ini. Misalnya, login dasar mungkin hanya memicu otentikasi ulang melalui aplikasi otentikator, sementara penarikan besar mungkin memerlukan verifikasi ulang dokumen lengkap dengan pemeriksaan liveness yang baru.
4. Terapkan Alur Kerja Adaptif
Strategi LoA verifikasi identitas Anda harus diterapkan melalui alur kerja adaptif. Ini berarti sistem harus secara otomatis meningkatkan atau menurunkan langkah-langkah verifikasi berdasarkan penilaian risiko waktu nyata. Misalnya:
- Pengguna yang awalnya diverifikasi di LoA 2 untuk aktivitas bernilai rendah mungkin mencoba transaksi bernilai tinggi, memicu peningkatan otomatis ke LoA 3, yang membutuhkan pemeriksaan dokumen dan liveness tambahan.
- Sebaliknya, pengguna yang sudah lama dan tepercaya dengan riwayat perilaku yang konsisten mungkin melewati langkah-langkah verifikasi tertentu untuk tindakan rutin berisiko rendah.
Kemampuan adaptasi ini adalah kunci untuk menyeimbangkan keamanan, kepatuhan, dan pengalaman pengguna. Pendekatan API-first Didit memungkinkan integrasi fleksibel dari modul-modul ini, memungkinkan pengembang untuk membangun alur kerja yang canggih dan dinamis.
5. Pantau, Tinjau, dan Optimalkan
Strategi LoA verifikasi identitas bukanlah pengaturan satu kali. Ini membutuhkan pemantauan, tinjauan, dan optimasi berkelanjutan. Secara teratur nilai:
- Tingkat Penipuan: Apakah transaksi berisiko tinggi masih menyebabkan penipuan? Sesuaikan persyaratan LoA untuk skenario tersebut.
- Positif/Negatif Palsu: Apakah sistem salah menandai pengguna yang sah atau melewatkan penipuan yang sebenarnya?
- Tingkat Penurunan Pengguna: Apakah langkah-langkah verifikasi tertentu menyebabkan terlalu banyak gesekan bagi pengguna yang sah?
- Perubahan Regulasi: Undang-undang seperti peraturan AML (Anti-Money Laundering) dan KYC (Know Your Customer) berkembang. Strategi LoA Anda harus beradaptasi untuk tetap patuh.
Manfaatkan analitik data untuk menyempurnakan model risiko Anda dan menyesuaikan ambang batas untuk peningkatan LoA. Proses berulang ini memastikan strategi Anda tetap efektif dan efisien.
Mengintegrasikan Strategi LoA Verifikasi Identitas dengan Didit
Didit menyediakan infrastruktur untuk membangun dan mengimplementasikan strategi LoA verifikasi identitas yang canggih. Dengan lebih dari 1.000 sumber data dan pasar modul terbuka, Anda dapat merancang alur kerja yang secara tepat sesuai dengan selera risiko dan kewajiban peraturan Anda.
Misalnya, untuk menerapkan pendekatan berjenjang:
- Orientasi Risiko Rendah: Mulai dengan modul
identity_checkdasar untuk verifikasi nama dan alamat terhadap catatan publik. - Tindakan Risiko Sedang: Jika pengguna mencoba tindakan berisiko sedang, picu
document_verificationdenganliveness_detectionmelalui moduldocument_capture, bersama dengan modulwatchlist_screeninguntuk pemeriksaan PEP (politically exposed person) dan sanksi. - Skenario Risiko Tinggi: Untuk transaksi bernilai tinggi atau aktivitas mencurigakan, lapisi modul
proof_of_addressdan berpotensienhanced_due_diligence, yang mungkin melibatkan tinjauan manualcase_managementmenggunakan alat Didit.
Modularitas ini memungkinkan Anda untuk membangun alur verifikasi kustom tanpa perlu berintegrasi dengan banyak vendor. decision_engine dalam Didit dapat dikonfigurasi untuk mengotomatiskan peningkatan LoA ini berdasarkan aturan dan penilaian risiko yang telah Anda tentukan sebelumnya.
Poin Penting
- Strategi LoA verifikasi identitas secara dinamis menyesuaikan intensitas verifikasi berdasarkan risiko.
- Ini mengoptimalkan pengalaman pengguna, mengurangi biaya operasional, dan meningkatkan kepatuhan serta pencegahan penipuan.
- Menerapkan strategi LoA melibatkan penentuan tingkat risiko, memetakannya ke LoA yang sesuai, memilih metode verifikasi yang cocok, dan membangun alur kerja adaptif.
- Pemantauan dan optimasi berkelanjutan sangat penting untuk efektivitas strategi jangka panjang.
- Platform modular Didit mendukung pembangunan proses verifikasi identitas berbasis LoA yang fleksibel dan terukur.
Pertanyaan yang Sering Diajukan
Q: Apa manfaat utama dari strategi LoA verifikasi identitas?
A: Manfaat utamanya adalah menyeimbangkan keamanan dan kepatuhan dengan pengalaman pengguna dan efisiensi operasional dengan menerapkan tingkat kekakuan verifikasi yang sesuai untuk setiap skenario risiko spesifik.
Q: Bagaimana strategi LoA membantu kepatuhan AML?
A: Dengan secara dinamis menyesuaikan kedalaman pemeriksaan Know Your Customer (KYC) dan Know Your Business (KYB) berdasarkan risiko yang dinilai, strategi LoA memastikan bahwa bisnis memenuhi persyaratan Anti-Money Laundering (AML) secara efektif, terutama untuk individu atau transaksi berisiko tinggi yang membutuhkan uji tuntas yang ditingkatkan.
Q: Bisakah strategi LoA mengurangi gesekan pengguna?
A: Ya, dengan menghindari langkah-langkah verifikasi gesekan tinggi yang tidak perlu untuk aktivitas berisiko rendah, strategi LoA dapat secara signifikan meningkatkan perjalanan pengguna dan mengurangi tingkat penurunan.
Q: Apakah strategi LoA verifikasi identitas hanya untuk perusahaan besar?
A: Tidak, bisnis dari semua ukuran dapat memperoleh manfaat. Bisnis yang lebih kecil seringkali memiliki anggaran yang lebih ketat dan sumber daya yang lebih sedikit, membuat pendekatan berbasis risiko yang efisien menjadi lebih penting untuk menghindari pengeluaran berlebihan pada verifikasi.
Q: Seberapa cepat saya dapat mengimplementasikan strategi LoA dengan Didit?
A: Infrastruktur Didit dirancang untuk integrasi cepat, seringkali dalam hitungan menit, memungkinkan Anda untuk dengan cepat mengkonfigurasi dan menerapkan strategi LoA verifikasi identitas menggunakan API modular dan komponen pra-bangunnya.
Didit menyediakan infrastruktur untuk identitas dan penipuan, menawarkan satu API untuk mengakses lebih dari 1.000 sumber data dan pasar modul terbuka. Ini memungkinkan bisnis untuk mengimplementasikan strategi LoA verifikasi identitas yang canggih di seluruh siklus hidup – dari Otentikasi hingga Verifikasi hingga Pemantauan. Anda dapat berintegrasi hanya dalam 5 menit, mendapatkan keuntungan dari harga pay-per-use publik tanpa minimum, dan mendapatkan 500 pemeriksaan gratis setiap bulan. Verifikasi identitas lengkap dari Didit berharga serendah $0,30.
Mulai dengan Didit
Didit adalah infrastruktur untuk identitas dan penipuan — satu API, harga pay-per-use publik, dan 500 verifikasi gratis setiap bulan. Tambahkan Verifikasi Pengguna ke alur Anda dan berintegrasi dalam 5 menit.
- Verifikasi Pengguna — lihat cara kerjanya dan berapa biayanya.
- Baca dokumentasi — referensi API dan panduan integrasi.
- Mulai gratis — 500 verifikasi setiap bulan, tidak perlu kartu kredit.