Ինչպես են աշխատում KYC և AML համակարգերը առցանց

Առցանց KYC-ում (Know Your Customer) և AML-ում (Anti-Money Laundering) ոչ թե «ֆորմալություն» է, այլ պարտադիր կառավարման համակարգ 'ինքնության հավաստագրում, հաճախորդի ռիսկի գնահատումը, գործարքների շարունակական դիտարկումը և կարգավորողի ժամանակին զեկույցները։ Նպատակը թույլ չտալ լվացումը, ահաբեկչության ֆինանսավորումը, խարդախությունը և անչափահասների խաղը, միաժամանակ պահպանելով բարձր UX և տվյալների գաղտնիությունը։

1) Ի՞ նչ է KYC և AML-ը կարճ ժամանակում

KYC 'հաճախորդի ինքնության և հաճախորդի տեղադրումը, տարիքի/իրավունքի ստուգումը, PII-ի ընդհանուր հավաքումը, մուտքի ռիսկի գնահատումը և պարբերական համակարգը (KYC refresh)։

AML/CFT ՝ սանկցիոն և PEP սկրինինգները, կասկածելի վճարումների պաթոգենների դետեկտիվը, սահմանները, ձեռքով հետազոտությունները և STR/SAR (հաղորդագրությունները կասկածելի գործունեության մասին)։

2) Onbording: Ստանդարտ KYC հոսք (5 քայլ)

1. Տվյալների հավաքումը 'անունը, ծննդյան ամսաթիվը, քաղաքացիությունը, հասցեն, շփումները։ համաձայնություն և վերամշակման հիմքեր։

2. Փաստաթղթերը 'լուսանկար/սկան ID (անձնագիր/ID քարտեզ/ջուր։ հավաստագրում) + երբեմն հաստատվում է հաճախորդի կողմից (utility bill/բանկային վճար)։

3. Liveness և կենսաչափություն ՝ սելֆի տեսահոլովակ/լուսանկար, «կենդանի» ստուգում, համեմատություն փաստաթղթի հետ։

4. Վալիդացիաները ՝ MRZ, կոդավորման ամսաթիվը, կեղծիքների վերահսկումը, գեո-անհամապատասխանությունները, տարիքային խոչընդոտը։

5. Սանկցիաները/PEP/Adverse Media: Հաճախորդի և բուլղարի ստուգումը իրական ցուցակների և բացասական նորությունների վրա բացատրվում է ռիսկի։

Արդյունքը 'approve/reject/manault review։ Ձեռքով ստուգելիս քեյսը գնում է մասնագիտացված հերթում չեկլիստի և SLA-ի հետ։

3) Հաճախորդի ռիսկը (Customer Risk Rating)

Ձևավորվում է

Միգրացիոն գործոնները 'փաստաթղթերը և նրանց վալիդիզմը, տվյալների անհամապատասխանությունը։

Դատական գործընթացը 'բնակության երկիրը/միջոցների աղբյուրը, սանկցիոն իրավասությունները։
Վարքագծային ազդանշաններ 'սարք, ստանդարտ/SNN, համընկնում հայտնի ֆրոդի ցանցերի հետ։
Ֆինանսական պրոֆիլը 'հայտարարված միջոցների աղբյուրը, միգրանցների սահմանները, վաղ գործարքները։
Սկորինգը բաժանվում է Low/Windows/High մակարդակների վրա և տալիս է KYC խորությունը (EDD - ընդլայնված ստուգում) և KYC refresh հաճախականությունը։

4) Ongoing Due Diligence:

Պարբերական վերանայումները (12-36 ամիս կամ ռիսկի իրադարձությունների ժամանակ)։
Անընդհատ սանկցիոն/RER-rescrining-ը ցուցակների նորարարման ժամանակ։
Վարքագծային ձգումներ 'ավանդների/եզրակացությունների բարձրացում, վճարումների ոչ հիփիկ ուղիներ, բազմաթիվ քարտեզներ, մուլներ, ստացիոնար փոխանցումներ, գիշերային պիկի, այլ հաշիվների հետ կապ (գրաֆիկ ազդանշաններ)։
Coftw.ru: ալերտները վերածվում են դեպքերի, առաջնահերթությունների, չեկլիստների, նոտաների, ներդրումների և արդյունքի (cleared/STR)։

5) Գործարքների իրականացումը (AML rules & մոդելներ)

Նախապատմության կանոնները ՝ N դեպոզիտ/եզրակացություն ժամանակահատվածի համար, մեծ գումարներ, հաճախակի ձեռնարկություններ, drowling (structuring)։

Երթուղիների փամփուշտները 'արագ շարժիչ/ելք, հազվագյուտ/ոչ ստանդարտ PSA, բարձր chargeback rate։

Վարքագծային ML 'անոմալիաների կլաստերներ, մուլտիկաունտինգի/կոլյուզիայի գրաֆիկ բաղադրիչներ։
Բարակ (tuning) 'TP/FP հավասարակշռություն (108/false positives), պարբերական backtesting պատմական տվյալների վրա։

6) STR/SAR և փոխազդեցություն կարգավորողի հետ

Երբ քեյսը մնում է կասկածելի

Համակարգչային սպան ձևավորում է STR/SAR (փաստեր, գումար, փամփուշտ, մասնակիցներ, ժամանակավոր սանդղակ)։

Զեկույցի ժամանակը և ձևաչափը կախված են իրավասությունից։ նյութերի պահպանումը անփոփոխ արխիվում է, հասանելիությունը միայն դերերով։
Հաճախորդը չի հայտարարում զեկույցի ներկայացման մասին (tipping-off արգելված է)։

7) Մոսկվա և ճարտարապետություն (API/Webhooks/անվադողեր)

REST/gRPC սինխրոն հարցումների համար (ստեղծել KYC-քեյս, պահանջել արդյունքը, ստանալ ռիսկի սկոր)։

Webhooks KYC/2019/AML-ի պրովայդերներից 'HMAC-ի ստորագրած, anti-replay (timestamp, nonce), repray հետ։
Իրադարձությունների շարքը (Kafka/PubSub) 'գործարքներ, կարգավիճակի փոփոխություն, SIEM/գործի պահեստ։
Փողի համադրելիությունը '«Idempotency-Key», յուրահատուկ «txn _ id», sagi/փոխհատուցում, որպեսզի webhooks-ը չստեղծի դուբլներ։

8) UX-ը և ֆրոդի դեմ պայքարը 'ինչպես համատեղել

Բազմապատկություն 'մուտքի ստուգում, ընդլայնված' միայն ռիսկի/լիմիթ-ապգրեյդի համար։

Բջջային KYC 'տեսախցիկ, OCR, բենզալցակայան, առաջընթաց բար, հասկանալի պահանջներ ձևերի և ժամկետների համար։
Friction ազդանշանով 'խստացում միայն MSN-ում, անսովոր սարքերում, գրաֆիկի համընկնումներով։
Թափանցիկությունը 'քեյսի և ETA-ի կարգավիճակը ինտերֆեյսում, որպեսզի նվազեցնի տիկետները աջակցության մեջ։

9) Գաղտնիությունը և անվտանգությունը (GDPR/անվտանգությունը)

Նվազեցում 'հավաքել միայն անհրաժեշտ; տարբեր հիմքեր PII, KYC մեդիա, գործարքների համար։

Կոդավորումը ՝ TFC 1։ 2+/1. 3; AES-256-GCM պահպանման ժամանակ; առանձին բանալիներ KFC/HSM; Սահմանափակ TL-ը KYC լուսանկարների/տեսահոլովակի համար։
Հասանելիություն ՝ RBAC/ABAC, MFA, ամսագրեր; Just-in-Time իրավունքները հետազոտության համար։
Իրավական հիմքերը 'պայմանագիրը/իրավական հետաքրքրությունը/իրավաբանական ապահովումը; DSR գործընթացները (մուտք/ուղղում/հեռացում) և վերափոխման քաղաքականությունը։
WORM արխիվները հետազոտության լոգարանների և նյութերի համար։

10) Մատակարարները և որակը (vendor)

Ճշգրտությունը (match-rate) և ուշացումը 'KUS/wwww.X վայրկյան պատասխանելու ժամանակը, liveness-ի ճշգրտությունը SLO-ում։

Երկրների/փաստաթղթերի ծածկումը 'ID-ի ղեկավարները տարածաշրջաններում, տեղական հասցեների հիմքերը։

Հուսալիությունը 'aptaim, DR պլանները, սանկցիոն ցուցակների թարմացման թափանցիկությունը։
Աուդիտը և համադրումը ՝ ISO 27001, pen-test, DPIA, տվյալների մշակման պայմանագրեր։
Արժեքը '"vs" -ի ստուգման համար հաջողակ վալիդացիայի համար ", զեղչեր ծավալի համար։

11) KYC/AML արդյունավետության մետրերը

KYC pass-rate-ը և գործի միջին ժամանակը (րոպե/ժամ)։

False Positive Rate-ը սանկցիաների/RER-ի և գործարքային ալերտերի վրա։
Alts-to-Cast Ratio-ը և STR/SAR-ի էսկալացիայի մասը։
Chargeback Rate/Fraud Rate-ից հետո։
Cost per Verifox-ը և ձեռքի խանդի մասը։
Կարգավորող SLA 'համապատասխան պատասխանների և պահեստների պահպանումը։

12) Տիպիկ սխալներ

«Հավաքենք ամեն ինչ և հետո վերլուծենք»։ Լրացուցիչ տվյալները ավելացնում են ռիսկը և արժեքը։

Բոլոր շուկաների համար միասնական լիմիտներ։ Տեղական կանոնների անտեսումը հանգեցնում է արգելափակումների/տուգանքների։
Ռեսկրինինգ չկա։ Մրցույթի ցուցակները ամեն օր փոխվում են։
Փողի իկեմպոտենտության բացակայությունը։ Webhooks-ը կրկնեց գործարքների դուբլը։
Գերագնահատող WAF/bot chek: կոտրում է KYC բեռնումը և նվազեցնում pass-rate-ը։
Առանց չեկլիստների, տարբեր սպաները տարբեր արդյունք են, կրկնություն չկա։

13) Իրականացման չեկլիստը (պահպանեք)

Հիմնական և ընդլայնված KYC հոսքերը, որոնք հասկանալի են SLA և UX-ով։
Սանկցիաներ/PEP/Adverse Media: Ամենօրյա նորարարությունները, rescreining
Ռիսկային և էսկալացիայի կանոնները (EDD, limits, refresh)
Գործարքային ստանդարտ ՝ շեմեր, սցենարներ, ML ազդանշաններ, backtesting, backtesting,
API/Webhooks HMAC, anti-replay, retray + փողի idempotenty
KFC/HSM, PII/KYC-media կոդավորումը, առանձին կոդավորումը
WORM արխիվը/logs, SIEM և dashbords համար
Retention/DSR, DPIA և պրովայդերների հետ պայմանագրեր
STR/SAR և runbook-ի զեկույցը
Որակի metriks: pass-rate, FP-rate, TTV KYC, հոսքի մասնաբաժինը։

14) Mini-FAQ

KYC = միանգամյա ստուգում։ Ոչ, բարձր հաճախորդներն ունեն պարբերական refresh և անընդհատ սկրինինգ։

Արդյո՞ ք միշտ անհրաժեշտ է liveness Ֆրոդի բարձր մակարդակ ունեցող շուկաների համար այո; ցածր ռիսկի համար կարող եք սկսել ազդանշանով։
ML-ը կփոխարինի կանոնները։ Ավելի լավ է հիբրիդ 'բացատրության և կարգավորողի կանոնները, ML-ը' FP-ի նվազեցման և ոչ ռիվիալ պաթոգենների հայտնաբերման համար։
KYC-ն խանգարում է փոխադարձություններին։ Ճկուն քայլը, բջջային UX և պարզ պահանջները պահում են pass-rate բարձր։
Կարո՞ ղ եք պահել փաստաթղթերը «ամեն դեպքում»։ Ոչ։ Վերափոխումը օրենքի նպատակների և ժամկետների, ապա հեռացումը կամ ծպտյալ լվացումը։

Արդյունավետ KYC/AML-ն ինտերնետում տեխնոլոգիայի, գործընթացների և մարդկանց համակարգված աշխատանքն է 'հստակ ուռուցքաբանություն liveness-ի և փաստաթղթի հետ, անընդհատ պատժամիջոցների ստուգումներ, գործարքների խելացի իրականացում, տվյալների հուսալի ծպտյալ պաշտպանություն և կարգավորողի թափանցիկ հաշվետվություն։ Այս մոտեցման դեպքում պլատֆորմը արգելափակում է ֆինանսական և իրավաբանական ռիսկերը, արագացնում է «մաքուր» հաճախորդներին և աջակցում է օգտագործողների և գործընկերների վստահությունը։