Prova de identidade
O identity proofing (ou prova de identidade) é o processo de recolha, validação e verificação das informações de uma pessoa para estabelecer a sua identidade com um nível de confiança definido. É o primeiro passo antes da emissão de credenciais digitais.
O identity proofing distingue-se da autenticação por ocorrer durante o primeiro contacto com um indivíduo, quando ainda não existe qualquer relação de confiança. O objetivo é responder à questão: «Esta pessoa é realmente quem afirma ser?» antes de lhe conceder acesso ou criar uma conta. Este processo é fundamental para prevenir a usurpação de identidade desde o início da relação.
O NIST (National Institute of Standards and Technology) define três níveis de garantia de identidade (IAL - Identity Assurance Level): IAL1 (autodeclaração), IAL2 (verificação remota com documento) e IAL3 (verificação presencial ou equivalente). O regulamento europeu eIDAS oferece um quadro semelhante com níveis de garantia baixo, substancial e elevado.
Um processo robusto de identity proofing compreende tipicamente a recolha de atributos de identidade (nome, data de nascimento, morada), a validação das provas de identidade (documento válido, não expirado, não revogado), a verificação da identidade (correspondência entre a pessoa e as provas) e a avaliação do risco de fraude em cada etapa.
Regulações
Exemplos concretos
- 1.Um banco digital implementa um processo de identity proofing de nível IAL2 para a abertura de conta: o cliente submete um documento de identidade, grava um vídeo selfie e confirma o seu número de telefone por SMS.
- 2.Um organismo de certificação eIDAS verifica a identidade de um requerente de certificado de assinatura qualificada exigindo presença física ou um percurso de vídeo certificado com deteção de vivacidade.
- 3.Uma plataforma de trabalho temporário verifica a identidade dos trabalhadores temporários durante o seu registo, combinando verificação documental e controlo biométrico para atingir um nível de confiança elevado.