Memahami Tingkat Jaminan (LoA) untuk Identitas Digital (ID)

Definisi LoATingkat Jaminan (LoA) mengukur kepercayaan bahwa identitas yang diklaim adalah benar, mencakup faktor-faktor seperti pembuktian identitas, kekuatan autentikasi, dan pengikatan pada seorang individu.

Pendekatan BerjenjangTingkat LoA yang berbeda ada (misalnya, NIST LoA 1-4, eIDAS Rendah, Substansial, Tinggi) untuk mencocokkan risiko dan kebutuhan keamanan berbagai layanan dan transaksi digital.

Spesifikasi Kasus PenggunaanMemilih LoA yang benar sangat penting; login forum sederhana membutuhkan LoA yang lebih rendah daripada transaksi keuangan atau mengakses data pribadi yang sangat sensitif.

Orkestrasi DinamisPlatform identitas modern seperti Didit memungkinkan bisnis untuk secara dinamis mengorkestrasi alur verifikasi untuk mencapai tingkat LoA tertentu, mengoptimalkan keamanan dan pengalaman pengguna.

Apa itu Tingkat Jaminan (LoA)?

Dalam dunia digital, membangun kepercayaan terhadap siapa yang diklaim sebagai pengguna adalah yang terpenting. Tingkat Jaminan (LoA) menyediakan kerangka kerja terstandardisasi untuk mengevaluasi dan mengomunikasikan kepercayaan bahwa identitas yang diklaim adalah sah. Pada dasarnya, LoA menunjukkan seberapa yakin Anda bahwa seseorang adalah orang yang mereka katakan, berdasarkan ketelitian proses verifikasi dan autentikasi identitas yang telah mereka jalani.

Berbagai badan standar, seperti NIST (National Institute of Standards and Technology) di AS dan eIDAS (electronic IDentification, Authentication and trust Services) di Eropa, telah mendefinisikan kerangka kerja LoA mereka sendiri. Meskipun spesifikasinya mungkin berbeda, konsep intinya tetap konsisten: LoA yang lebih tinggi berarti kepercayaan yang lebih besar terhadap identitas pengguna, biasanya memerlukan langkah-langkah verifikasi yang lebih ketat.

Faktor-faktor yang berkontribusi pada LoA tertentu meliputi:

• Pembuktian Identitas: Bagaimana identitas awalnya diverifikasi? Apakah berdasarkan deklarasi diri, ID yang dikeluarkan pemerintah, atau pemeriksaan langsung?
• Kekuatan Autentikasi: Bagaimana pengguna mengautentikasi identitas mereka? Apakah itu kata sandi sederhana, autentikasi multi-faktor (MFA), atau biometrik?
• Pengikatan pada Seorang Individu: Seberapa kuat identitas digital terhubung dengan orang fisik yang unik?
• Deteksi Penipuan: Tindakan apa yang ada untuk mendeteksi dan mencegah penipu atau identitas sintetis?

Kerangka LoA Umum dan Karakteristiknya

Mari kita lihat dua kerangka LoA terkemuka untuk memahami perbedaannya:

Pedoman Identitas Digital NIST (SP 800-63-3)

• LoA 1 (Rendah): Memberikan sedikit kepercayaan pada identitas yang ditegaskan. Biasanya melibatkan identitas yang ditegaskan sendiri dengan verifikasi email/telepon. Cocok untuk akses publik ke informasi di mana risiko penyalahgunaan rendah. Contoh: Postingan forum anonim atau langganan buletin.
• LoA 2 (Sedang): Kepercayaan yang meningkat. Pembuktian identitas biasanya melibatkan verifikasi jarak jauh terhadap sumber otoritatif (misalnya, pemindaian dokumen ID + swafoto). Autentikasi sering menggunakan autentikasi jarak jauh satu faktor (seperti kata sandi) atau MFA dasar. Contoh: Mengakses layanan online non-sensitif, e-commerce dasar.
• LoA 3 (Tinggi): Kepercayaan tinggi. Pembuktian identitas yang kuat, seringkali membutuhkan ikatan yang kuat dengan orang fisik, berpotensi dengan verifikasi biometrik atau pembacaan dokumen NFC. Autentikasi biasanya melibatkan MFA yang kuat (misalnya, biometrik, token perangkat keras). Contoh: Perbankan online, layanan pemerintah yang mengakses data pribadi, transaksi keuangan bernilai tinggi.
• LoA 4 (Sangat Tinggi): Kepercayaan sangat tinggi. Membutuhkan pembuktian identitas secara langsung atau yang setara, dan autentikasi kriptografi yang sangat aman. Dirancang untuk transaksi berisiko sangat tinggi atau akses ke infrastruktur kritis. Jarang diimplementasikan dalam skenario murni online.

Peraturan eIDAS (UE) - Rendah, Substansial, Tinggi

• Rendah: Memberikan tingkat kepercayaan yang terbatas pada identitas yang ditegaskan. Serupa dengan NIST LoA 1, seringkali mengandalkan pendaftaran dasar dan autentikasi satu faktor. Contoh: Akses ke informasi publik umum.
• Substansial: Memberikan tingkat kepercayaan yang substansial. Membutuhkan pembuktian identitas dengan verifikasi jarak jauh terhadap dokumen resmi dan autentikasi yang kuat (misalnya, MFA). Sebanding dengan NIST LoA 2-3. Contoh: Mengakses layanan publik dengan data pribadi, pengajuan pajak online.
• Tinggi: Memberikan tingkat kepercayaan yang tinggi. Melibatkan pembuktian identitas yang ketat, berpotensi membutuhkan verifikasi tatap muka atau setara jarak jauh dengan biometrik, dikombinasikan dengan autentikasi kriptografi yang kuat. Sejalan dengan NIST LoA 3 yang lebih tinggi. Contoh: Membuka rekening bank, menandatangani kontrak secara elektronik, layanan publik lintas batas.

Mencocokkan LoA dengan Kasus Penggunaan Anda: Contoh Praktis

Kuncinya adalah memilih LoA yang menyeimbangkan persyaratan keamanan dengan pengalaman pengguna dan biaya operasional. Verifikasi berlebihan dapat menyebabkan friksi dan pengabaian, sementara verifikasi yang kurang akan membuat Anda rentan terhadap penipuan dan risiko kepatuhan.

Kasus Penggunaan LoA Rendah

• Pendaftaran Buletin / Komentar Blog: Verifikasi email sederhana (modul Verifikasi Email Didit) seringkali cukup. Risiko penipuan minimal, dan tujuannya adalah untuk mengurangi spam.
• Akses Konten Dasar: Untuk platform yang menawarkan konten gratis yang memerlukan login cepat, kombinasi nama pengguna/kata sandi dengan verifikasi email atau telepon dasar untuk pemulihan akun mungkin cukup (Verifikasi Telepon Didit).

Kasus Penggunaan LoA Sedang

• Pembuatan Akun E-commerce: Ketika pengguna membuat akun untuk menyimpan detail pengiriman atau melihat riwayat pesanan, pemindaian dokumen ID yang dikombinasikan dengan pemeriksaan keaktifan pasif (Verifikasi ID Didit + Keaktifan Pasif) memberikan keseimbangan yang baik. Ini membantu mencegah multi-akun dan penipuan dasar.
• Platform Permainan: Untuk permainan dengan batasan usia atau pembelian dalam game, perkiraan usia (Perkiraan Usia Didit) atau verifikasi ID lengkap mungkin diperlukan untuk mematuhi peraturan.
• Mengakses Portal Pelanggan Non-Sensitif: Langkah autentikasi multi-faktor (MFA), seperti OTP ke telepon atau email yang terdaftar, setelah pembuktian identitas awal, biasanya sesuai.

Kasus Penggunaan LoA Tinggi

• Pembukaan Rekening Keuangan (KYC/AML): Ini adalah skenario LoA tinggi klasik. Ini menuntut pembuktian identitas yang kuat dengan verifikasi ID yang dikeluarkan pemerintah, deteksi keaktifan aktif, pencocokan wajah, dan penyaringan AML komprehensif (Verifikasi ID Didit + Keaktifan Aktif + Pencocokan Wajah 1:1 + Penyaringan AML). Pemantauan AML berkelanjutan juga penting.
• Layanan Online yang Diatur (misalnya, Perjudian, Pertukaran Kripto): Mirip dengan layanan keuangan, ini memerlukan proses KYC/AML yang ketat untuk mencegah penipuan, pencucian uang, dan memastikan kepatuhan usia. Pembacaan dokumen NFC dapat menambah lapisan jaminan ekstra.
• Telemedicine / Akses Perawatan Kesehatan: Memverifikasi identitas pasien sebelum mereka mengakses catatan kesehatan sensitif atau menerima nasihat medis membutuhkan tingkat kepercayaan yang tinggi. Autentikasi biometrik untuk pengguna yang kembali (Autentikasi Biometrik Didit) sangat penting di sini.
• Layanan Pemerintah (Bernilai Tinggi): Mengakses catatan pajak, mengajukan tunjangan, atau penandatanganan digital dokumen hukum membutuhkan jaminan yang sangat tinggi untuk mencegah pencurian identitas.

Bagaimana Didit Membantu Mencapai LoA yang Dibutuhkan

Platform identitas all-in-one Didit dirancang untuk memberikan fleksibilitas dan kekuatan untuk mencapai Tingkat Jaminan yang dibutuhkan, disesuaikan dengan kasus penggunaan spesifik dan kebutuhan peraturan.

• Arsitektur Modular: Didit menawarkan 18 modul yang dapat disusun, mulai dari verifikasi email dasar hingga pembacaan dokumen NFC canggih dan pemantauan AML berkelanjutan. Setiap modul berkontribusi untuk meningkatkan LoA identitas pengguna.
• Orkestrasi Alur Kerja: Pembangun Alur Kerja visual memungkinkan bisnis untuk menarik dan melepas modul-modul ini untuk membuat alur verifikasi khusus. Ini berarti Anda dapat merancang alur kerja yang secara dinamis menyesuaikan LoA berdasarkan faktor risiko, nilai transaksi, atau perilaku pengguna. Misalnya, login sederhana mungkin hanya memerlukan pencocokan wajah, sementara penarikan bernilai tinggi memicu verifikasi ID penuh, keaktifan, dan penyaringan AML.
• Verifikasi Biometrik: Dengan deteksi keaktifan pasif dan aktif, pencocokan wajah 1:1, dan autentikasi biometrik, Didit menyediakan kemampuan biometrik yang kuat yang penting untuk LoA yang lebih tinggi.
• Validasi Dokumen & Basis Data ID: Mendukung 14.000+ jenis dokumen di 220+ negara, verifikasi ID Didit, dikombinasikan dengan pembacaan NFC dan validasi basis data, memberikan jaminan identitas tingkat pemerintah.
• Sinyal Penipuan & AML: Analisis IP terintegrasi, data perangkat, dan penyaringan AML real-time terhadap 1.300+ daftar pantauan global secara signifikan meningkatkan kepercayaan terhadap identitas pengguna dan mengurangi risiko penipuan, penting untuk LoA yang lebih tinggi.
• KYC yang Dapat Digunakan Kembali: Untuk pengguna yang kembali, KYC Didit yang kompatibel dengan eIDAS2 yang dapat digunakan kembali memungkinkan pengguna untuk berbagi kredensial yang telah diverifikasi sebelumnya dengan autentikasi ulang biometrik, menjaga LoA tinggi sambil sangat meningkatkan pengalaman pengguna.

Dengan mengorkestrasi alat-alat canggih ini, bisnis dapat secara tepat mengontrol tingkat jaminan untuk setiap interaksi, memastikan kepatuhan, meminimalkan penipuan, dan mengoptimalkan perjalanan pengguna tanpa friksi yang tidak perlu.

Siap Memulai?

Memahami dan mengimplementasikan Tingkat Jaminan yang tepat adalah fundamental untuk membangun layanan digital yang aman dan patuh. Dengan Didit, Anda mendapatkan platform yang kuat dan fleksibel untuk mengelola semua kebutuhan identitas Anda, mulai dari verifikasi dasar hingga persyaratan LoA yang paling ketat. Jelajahi bagaimana Didit dapat meningkatkan strategi identitas Anda.

Lihat Harga Didit | Coba Konsol Bisnis Didit | Hitung ROI Anda