Ինչպես անվտանգ կիսել փաստաթղթերը KYC-ի համար

KYC (Know Your Customer) - պարտադիր ընթացակարգ արտոնագրված խաղատների և ֆինանսական ծառայությունների մեջ։ Բայց փաստաթղթերի փոխանցումը ռիսկի բարձր պահն է 'ֆիշինգը, փոստից ֆայլերի գողությունը, «հայելին» առանց HTTPS-ի և ամպերի միջոցով պատահական արտահոսքերը։ Ներքևում, ինչպես խաղացողին ուղարկել փաստաթղթերը հնարավորինս անվտանգ և որ օպերատորը պարտավոր է անել իր կողմից։

Մաս 1։ KYC փաստաթղթերի անվտանգ փոխանցումը խաղացողի համար քայլ է

1) Համոզվեք ալիքի իսկության մասին

Մտնեք միայն պաշտոնական տիրույթից https : //( ամրոց առանց սխալների)։

Փոխանցեք ֆայլերը ներկառուցված KYC պորտալի միջոցով անձնական գրասենյակում կամ բջջային կոդով։

Մի ուղարկեք փաստաթղթերը չաթերի/մեսենջերների/սոցիալական ցանցերի և աշխատողների անձնական փոստի վրա։
Եթե ձեզանից խնդրում են փոստով ուղարկել, նշեք գրասենյակում։ Ծայրահեղ անհրաժեշտության դեպքում օգտագործեք պաշտպանված արխիվը (տե՛ ս էջ 6)։

2) Ճիշտ ֆայլեր պատրաստեք

Ձևաչափը 'գունավոր JPEG/PNG լուսանկարների կամ PDF սկանների համար։

Որակը 'առանց ֆիլտրերի, ամեն ինչ կարդացվում է։ մի վերցրեք անկյունները, մի՛ բարելավեք նյարդային ցանցերը։
Ի՞ նչ կարելի է փակել

Բանկային տուփի վրա, թաքցրեք հավասարակշռությունը/կապակցված վիրահատությունները, թողեք FIO, հասցեն, ամսաթիվը և ավելցուկը, որոնք խնդրել են օպերատորին։

կոմունալ ծառայությունների համար, դուք կարող եք թաքցնել գումարը։

Դուք չեք կարող փակել 'FIO, ծննդյան ամսաթիվը, փաստաթղթի համարը, նկարը, MRZ գոտին և գործողության ժամանակահատվածը, եթե օպերատորը խնդրում է ամբողջական պատճենը։ Հետևեք պաշտոնական հրահանգներին. Երբեմն նշվում է մասնակի թաքցում (օրինակ, 8 թվերից 6-ը), երբեմն 'ոչ։

3) Սելֆի/« liveness »- ինչպես ճիշտ անել

Նկարը առանց ակնոցների/գլխարկ/ֆիլտրեր, լավ լուսավորություն։

Եթե խնդրում են սելֆի փաստաթղթով, պահեք երկրորդ թերթիկը, որը գրված է «KYC-ի համար , ամսաթիվը»։ Մի փակեք փաստաթղթի տվյալները, մակագրությունը 'առանձին թղթի վրա, ոչ թե փաստաթղթի վրա։

4) Հեռացրեք ավելցուկ մետատվյալներին

Նախքան EXIF-ի տեղադրումը (geolocation/հեռախոսի մոդել) ֆայլի հատկություններում կամ ներկառուցված խմբագրի միջոցով։ PDF-ի համար անջատեք «Track changes/Comments», պահպանեք որպես «հարթ» փաստաթուղթ։

5) Անուններն ու կարգը

Հասկանալի է անվանել ֆայլեր '"ID _ Petrov _ 2025-10-22։ jpg`, `UtilityBill_Petrov_2025-09. pdf`.

Մի տեղադրեք փաստաթղթերը ընդհանուր «շարինգի» մեջ, միայն KYC պորտալում հասցեային բեռնումը։

6) Եթե դեռ փոստը (որպես բացառություն)

Այրեք w.zip/.7z-ը AES-կոդավորման հետ, գաղտնաբառը փոխանցեք մեկ այլ ջրանցք (օրինակ ՝ գրասենյակում հաղորդագրությունների միջոցով)։

Նամակի թեմայում մի գրեք «անձնագիր/ID», օգտագործեք չեզոք ձևակերպումներ։

7) Ռուսաստանի ապացույց

Բեռնելուց հետո սպասեք կարգավիճակը գրասենյակում (ստացվել է/ստուգման/հաստատված)։

Միացրեք տեղեկությունները մուտքերի և փոփոխությունների մասին։ տարօրինակ ակտիվությամբ, անհապաղ փոխեք գաղտնաբառը և արգելափակեք նստաշրջանները։

8) Ժամկետներն ու իրավունքները

Պարզեք պահեստավորման ժամանակահատվածը (retention) և գաղտնիության քաղաքականության հղումը։

Արտոնագրված հատվածում դուք իրավունք ունեք GDPR/անալոգներին 'տվյալների հասանելիությունը, ուղղումը, վերամշակումը և հեռացումը պարտադիր վճարումներից հետո։

Մի մասը 2։ Ի՞ նչ պետք է ապահովի օպերատորը (KYC-ի ընդունման և պահպանման հետ կապված)

A) Պաշտպանված ընդունելություն

Ամբողջական HTTPS/TSA 1։ 2/1. 3, HSTS, mixed-entent արգելք, խիստ CSP; MTSA-ը և «CDN-ի համար» կոդավորումը։

In-app/KYC-պորտալը 'բեռնումը միայն լոգինից հետո, միապաղաղ secure-links' ժամկետի ավարտից հետո։

Antifishing: DMARC (p = reject), MTA-STS/TRS-RPT, CT-104 կիսագնդի կիսագնդեր։

B) Նվազեցում և վալիդացիա

Խնդրեք միայն անհրաժեշտ (SoF/SoW)։

Պարզ կանոններ, որոնցում ավելցուկային դաշտերը քողարկելու համար. թույլատրելի ձևերի և օրինակների ցանկը։

C) Ֆայլերի և կոդերի պաշտպանություն

At rest-ի կոդավորումը, ցանցերի տարանջատումը, ամենափոքր արտոնությունների հասանելիությունը։

KFC + HSM-ի համար, ռոտացիայի և աուդիտի համար։
Antivirus/ներդրումներ, «ավազը» վնասակար ֆայլերի համար։

D) Գործընթացներ և աուդիտ

Մուտքի ամսագրերի անփոփոխ վարումը (ով նայում էր/պատճենել), DLP-ալերտները։

Պահեստավորման պաշտոնական ժամկետները և ավտոմատ հեռացումը ակտի/լոգոյի հետ։
Սապորտի ուսուցում 'ոչ մի «ծննդյան ամսաթվի», միայն օրինակով։
DSAR-ի ջրանցքը (Direct Direcest) և SLA-ի պատասխանները օգտագործողի պատասխաններին։

E) UX և թափանցիկությունը

«Ինչ փակել/ինչ թողնել»։

Տեսանելի բյուջեների կարգավիճակը, ETA-ը և բացակայող փաստաթղթերի ցանկը։
«Տվյալների անվտանգություն» էջը 'նպատակներ, իրավունքների հիմքը, ժամկետները, DPO շփումները։

Հաճախակի սխալներ և ինչպես խուսափել

Սխալ	Ինչը վտանգավոր է	Ինչպես ճիշտ
Փաստաթղթերի ուղարկումը Telegram/փոստ մենեջերին	Վերահսկողության կորուստ, փոստի արտահոսք	Միայն KYC պորտալը; փոստը ծածկագրված արխիվն է ծայրահեղ դեպքում
«Հայելի» բեռնումը առանց HTTPS	MITM, հաշիվի և փաստաթղթերի գողություն	Միշտ ստուգեք https ://և տառի տիրույթը։
Փոխպատվաստված «բարելավումներ»	Մերժումը «խմբագրման կասկածի» պատճառով	Առանց ֆիլտրերի; լույսը/ճկունությունը լավ է, բայց մի փոխեք բովանդակությունը։
Փակեցինք քննադատական դաշտերը ID-ում	Կրկնվող ստուգում, վճարման ուշացում	Հետևեք հրահանգներին 'փակել միայն այն, ինչ թույլատրվում է
Ֆայլեր երկրաչափություններով/EXIF	Լրացուցիչ անձնական տվյալներ	Հեռացրեք EXIF մինչև բեռնումը
Հանրային հղում ամպին	Օտարների հասանելիությունը, ինդեքսավորումը	Միայն մասնավոր հղումները էքսպորտով կամ ուղղակի բեռնումը պորտալի մեջ

Խաղացողի համար չեկի թերթ (տպել)

Պատրաստվում եմ կայքում https ://էջանիշից։ տիրույթ առանց «խելքի»։
Ես բեռնում եմ միայն KYC պորտալի միջոցով (ոչ չաթերի/փոստի միջոցով)։
Կարդացվող ֆայլերը առանց ֆիլտրերի; EXIF-ը հեռացված է։
Խմիչքների վրա դիմակավորում եմ ավելի շատ հրահանգներով։
Սելֆի/թուղթ մակագրությամբ «KYC-ի համար , ամսաթիվը» (եթե անհրաժեշտ է)։
Ստացավ կարգավիճակը գրասենյակում; մուտքերի/փոփոխությունների մասին ծանուցումները ներառված են։
Գիտեմ, թե որտեղ դիտել պահեստավորման ժամկետները և ինչպես ստանալ հեռացման դիմումը ժամանակից հետո։

Օպերատորի համար չեկի թերթ

HTTPS/TLS 1. 2/1. 3, HSTS, CSP; կոդավորումը «CDN», mTSA ներքին API-ի համար։
KYC-պորտալը secure-links-ով և մաքրելով առանց «փոստով ընդունելու»։
Նվազեցման քաղաքականություն. Պարզ է, որ մենք փնտրում ենք և ինչպես ավելի շատ քողարկել։
Կոդավորումը at rest; KMS + HSM; դերերի հասանելիությունը; Մուտքի լոգներ և DLP։
Ներկառուցված հակավիրուսային/ավազաքարեր, EXIF/մետատվական սկանավորում։
Retention և Auto-հեռացում; DSAR ջրանցք; սապորտի ուսուցում։
Antifishing: DMARC (p = reject), CT-2019, նախազգուշացումներ գրասենյակում։

Մինի-FAQ

Կարո՞ ղ եք տեղադրել փաստաթղթի համարի մի մասը։

Միայն եթե դա հստակ թույլատրված է հրահանգով։ Հակառակ դեպքում, տրամադրեք ամբողջական պատճենը։

Ինչու՞ չընդունել e-mail-ի միջոցով։

Փոստը հաճախ արտահոսքի աղբյուր է դառնում։ Նախընտրելի է ներկառուցված KYC պորտալը։ փոստը միայն ծածկագրված արխիվով և գաղտնաբառով այլ տարբերակով է։

Արդյո՞ ք մենք պետք է հեռացնենք ֆայլերը ստուգելուց հետո։

Խաղացողը, այո, տեղական է։ Օպերատորը պահպանում է օրենքի/լիցենզիայի համաձայն համաձայնեցված պայմանագրերում։

Ինչու՞ հեռացնել EXIF-ը։

EXIF-ում կան երկրաչափություններ և սարքի մանրամասները, դրանք լրացուցիչ անձնական տվյալներ են, դրանք անհրաժեշտ չեն ստուգելու համար։

KYC-փաստաթղթերի անվտանգ փոխանցումը երկու գործողություն է '(1) օգտագործել ճիշտ ալիքը (պաշտոնական KYC պորտալը HTTPS-ով) և (2) նվազեցնել ավելացված տվյալները (հեռացնել մետատվյալներին, դիմակավորել միայն թույլատրելի)։ Օպերատորի կողմից կրիտիկական են պաշտպանված ենթակառուցվածքը, նվազեցումը, հասանելիության խիստ գործընթացները և հասկանալի հաղորդակցությունը։ Այս մոտեցումը միաժամանակ արագացնում է հավատալիքները, պաշտպանում է գաղտնիությունը և նվազեցնում ռիսկերը բոլորի համար։