Cómo compartir documentos de forma segura para KYC

KYC (Know Your Customer) es un procedimiento obligatorio en los casinos y servicios de fintech con licencia. Pero la transferencia de documentos es un momento de alto riesgo: el phishing, el robo de archivos del correo, los «espejos» sin HTTPS y las filtraciones accidentales a través de las nubes están en marcha. A continuación, cómo enviar los documentos al jugador de la manera más segura posible y lo que el operador está obligado a hacer por su parte.

Parte 1. Transferencia segura de documentos KYC: pasos para el jugador

1) Compruebe la autenticidad del canal

Acceda sólo desde el marcador al dominio oficial por https ://( bloqueo sin errores).

Transfiera archivos a través de un portal KYC incorporado en su cuenta personal o aplicación móvil.

No envíe documentos a los chats/mensajeros/redes sociales y a los correos personales de los empleados.

Si se le pide que envíe un correo electrónico - consulte en la oficina. Si es necesario, utilice un archivo protegido (consulte la reivindicación 6).

2) Preparar los archivos correctos

Formato: color JPEG/PNG para fotos o PDF para escaneos.

Calidad: sin filtros, todo es legible; no recortar las esquinas, no «mejorar» las redes neuronales.

Qué se puede cerrar:

en el extracto bancario - ocultar el saldo/transacciones no relacionadas, dejar el FIO, la dirección, la fecha y los datos solicitados por el operador;
en la factura de servicios públicos - puede ocultar las cantidades.
Lo que no se puede cerrar: FIO, fecha de nacimiento, número de documento, foto, zona MRZ y fecha de caducidad - si el operador pide una copia completa. Siga las instrucciones oficiales: a veces se permite la ocultación parcial (por ejemplo, 6 de los 8 dígitos del número), a veces no.

3) Selfie/« liveness »- cómo hacer correctamente

Foto sin gafas/sombreros/filtros, buena iluminación.

Si se le pide un selfie con un documento, mantenga una segunda hoja con la inscripción: «Para KYC en , fecha». No cierre los datos del documento, la inscripción está en un papel separado, no en el documento en sí.

4) Quite los metadatos adicionales

Antes de cargar, elimine EXIF (geolocalización/modelo de teléfono) en las propiedades del archivo o a través del editor integrado. Para PDF: desactive «Track changes/Comments», guarde como documento «plano».

5) Nombres y orden

Es comprensible llamar a los archivos: 'ID _ Petrov _ 2025-10-22. jpg`, `UtilityBill_Petrov_2025-09. pdf`.

No coloque los documentos en el «sharing» general - sólo descarga de direcciones en el portal KYC.

6) Si todavía el correo (como excepción)

Exprimir v.zip/.7z con cifrado AES, pasar la contraseña por otro canal (por ejemplo, a través de un mensaje en el gabinete).

En el asunto de la carta, no escriba «pasaporte/ID» - use un lenguaje neutral.

7) Compruebe la confirmación

Después de la descarga, espere el estado en el gabinete (recibido/en la verificación/aprobado).

Habilitar notificaciones de inicio de sesión y cambios de perfil; con una actividad extraña: cambie urgentemente su contraseña y bloquee las sesiones.

8) Plazos y derechos

Obtenga información sobre la vida útil (retention) y el enlace a la política de privacidad.

En el sector con licencia, usted tiene derechos sobre el GDPR/análogos: acceso a los datos, corrección, limitación del procesamiento y eliminación después del vencimiento de los plazos obligatorios.

Parte 2. Lo que el operador está obligado a proporcionar (con respecto a la recepción y almacenamiento de KYC)

A) Recepción protegida

Completo HTTPS/TLS 1. 2/1. 3, HSTS, prohibición de contenido mixto, CSP estricto; mTLS y cifrado «por CDN».

Portal in-app/KYC: descarga sólo después del inicio de sesión, enlaces seguros desechables con vencimiento.

Antifishing: DMARC (p = reject), MTA-STS/TLS-RPT, monitoreo CT de dominios duales.

B) Minimización y validación

Solicitar sólo lo necesario (SoF/SoW - por umbrales).

Reglas claras para enmascarar campos superfluos en los extractos; una lista de formatos y ejemplos válidos.

C) Protección de archivos y claves

Encriptación de redes, segregación de redes, acceso a los privilegios más pequeños.

KMS + HSM para claves, rotación y auditoría.

Antivirus/Sening archivos adjuntos, «sandbox» para archivos maliciosos.

D) Procesos y auditoría

Mantener registros de acceso inmutables (quién miró/copió), alertas DLP.

Períodos de retención formales y eliminación automática con acto/login.

Entrenamiento de sapport: sin «reseteo por fecha de nacimiento», solo por reglamento.

Canal DSAR (Data Subject Access Request) y SLA para respuestas al usuario.

E) UX y transparencia

Asistente de descarga paso a paso con ejemplos de «qué cerrar/qué dejar».

Estado visible de la solicitud, ETA y lista de documentos faltantes.

Página «Seguridad de datos»: objetivos, base de derechos, plazos, contactos DPO.

Errores frecuentes y cómo evitarlos

Error	Lo que es peligroso	Cómo es correcto
Envío de documentos a Telegram/correo electrónico al gerente	Pérdida de control, fugas de los buzones de correo	Sólo el portal KYC; correo - archivo cifrado como último recurso
Descarga en el «espejo» sin HTTPS	MITM, robo de cuenta y documentos	Compruebe siempre https ://y el dominio letra por letra
«Mejoras» rediseñadas	Denegación por «sospecha de edición»	Sin filtros; luz/nitidez - aprox, pero no cambie el contenido
Campos críticos cerrados en ID	Revalidación, retrasos en el pago	Siga las instrucciones: sólo se puede cerrar lo que está permitido
Archivos de geometría/EXIF	Datos personales superfluos	Eliminar EXIF antes de cargar
Enlace público a la nube	Acceso de terceros, indexación	Sólo enlaces privados con expiración o descarga directa en el portal

Lista de verificación para el jugador (imprimir)

Entro en el sitio web por https ://desde la pestaña; dominio sin «sustituto».
Sólo subo a través del portal KYC (no a través de chats/correo).
Ha preparado archivos legibles sin filtros; EXIF se ha eliminado.
En los extractos, enmascararé el exceso de acuerdo con las instrucciones.
Selfie/hoja que dice «para KYC en , fecha» (si es necesario).
Obtuvo estatus en el gabinete; se incluyen notificaciones de entradas/cambios.
Sé dónde ver los plazos de retención y cómo presentar una solicitud de eliminación después del plazo.

Lista de comprobación para el operador

HTTPS/TLS 1. 2/1. 3, HSTS, CSP; cifrado «por CDN», mTLS para las API internas.
Portal KYC con enlaces seguros y caducos, sin «recepción por correo».
Política de minimización: claro lo que solicitamos y cómo enmascarar lo superfluo.
Encriptación en nat; KMS + HSM; acceso por funciones; registros de acceso y DLP.
Antivirus/sandbox integrado, escaneo EXIF/metadatos.
Retención y desinstalación automática; Canal DSAR; Entrenamiento de sapport.
Antifishing: DMARC (p = reject), monitoreo CT, advertencias en el gabinete.

Mini preguntas frecuentes

¿Se puede sellar una parte del número de documento?

Sólo si la instrucción lo permite explícitamente. De lo contrario, proporcione una copia completa.

¿Por qué no aceptar por correo electrónico?

El correo a menudo se convierte en una fuente de filtraciones. El portal KYC incorporado es preferible; Correo: sólo con un archivo cifrado y una contraseña en otro canal.

¿Es necesario eliminar los archivos después de la verificación?

El jugador, sí, es local. El operador mantiene por ley/licencia dentro de los plazos estipulados.

¿Por qué eliminar EXIF?

En EXIF hay geometrías y los detalles del dispositivo son datos personales superfluos, no son necesarios para la verificación.

La transmisión segura de documentos KYC es de dos acciones: (1) utilizar el canal correcto (portal KYC oficial por HTTPS) y (2) minimizar los datos superfluos (eliminar metadatos, enmascarar sólo los permitidos). La infraestructura protegida, la minimización, los estrictos procesos de acceso y la comunicación comprensible son críticos por parte del operador. Este enfoque acelera simultáneamente la verificación, protege la privacidad y reduce los riesgos para todos.