Как KYC-сервисы влияют на конфиденциальность данных в финансовых приложениях

Недавно меня попросили провести предварительный технический обзор пяти финансовых платформ, рассматриваемых для покупки. Моя роль заключалась в взаимодействии с представителями этих инвестиционных платформ для оценки состояния их систем.

Вооруженный обширным опросником, созданным для измерения качества и продуманности этих платформ, мое внимание привлекло вопросы автоматизации верификации документов пользователей. Согласно требованиям «Знай своего клиента» (KYC), финансовые платформы должны проверять загружаемые пользовательские документы на точность и подлинность, проверять на украденность или истекший срок действия. Тонкости этого процесса часто понимают те, кто участвовал в разработке и поддержке таких платформ.

Особое внимание уделялось вопросу автоматизации проверки документов через стороннего поставщика услуг, имя которого останется нераскрытым. Этот поставщик услуг, действуя на основе оферты об оказании услуг, предлагал проверку данных паспортов пользователей и сообщал, не числится ли данный паспорт как украденный или утерянный. Для проведения этого анализа ему требовались полные данные о паспортах пользователей в открытом виде через API.

Проблема заключается в том, что платформы не имеют права передавать персональные данные третьим лицам. Даже если предпринимаются попытки получить согласие пользователя на передачу данных этому поставщику услуг через флажок или скрытый пункт согласия в пользовательском соглашении финансовой платформы, легитимность таких действий остается под вопросом.

Пользователи, по крайней мере, должны иметь возможность просмотра политики конфиденциальности API-сервиса, используемого для KYC-проверки на финансовой платформе. Эта информация должна быть прозрачной, и пользователи должны однозначно понимать, что их данные получаются третьей организацией для конкретных целей при конкретных условиях. Хотел бы я, чтобы мои данные паспорта были отправлены этому неспециализированному поставщику услуг? Скорее всего, нет.

Специализированный поставщик услуг полагается на свою репутацию KYC-сервиса. В отличие от этого, неспециализированный поставщик услуг может не полностью осознавать уровень ответственности при работе с такой чувствительной информацией, учитывая множество других (совсем не KYC) предоставляемых им услуг через API, включая и эти по проверке документов.

Ответ я нашёл у другого поставщика похожих услуг KYC по API. Они вообще НЕ получают персональных данных от финансовой платформы, но тем не менее проводят верификацию. Как это возможно? Перед отправкой через API все персональные данные пользователя преобразуются в хэши алгоритмом SHA512. Данные невалидных паспортов в базе данных поставщика услуг также хранятся в виде хэшей, аналогично тому, как современные сервисы хранят пароли пользователей, защищая их от утечек. Затем поставщик услуг сравнивает полученные через API хэши паспортных данных с хэшами утраченных паспортов в своей базе данных и возвращает результат проверки на совпадения.

Это уникальное решение со стороны поставщика услуг исключило риск потенциальных утечек данных, как по данным, предоставляемым через API от финансовой платформы, так и по хранимым персональным данным невалидных паспортов в базе данных самого поставщика услуг. Зашифрованные данные, перехваченные в процессе передачи, будут бесполезны хакеру из-за использования алгоритма. Даже владельцы и разработчики поставщика KYC-сервиса не могут расшифровать данные, поскольку это всего лишь уникальные хэши.

Я специально избегаю упоминания конкретных брендов, чтобы сохранить беспристрастность.

Каковы ваши мысли об этом подходе? Расскажите, какие поставщики KYC-сервисов вам нравятся и почему?

Михаил Пискунов
CTO в FinMV.com