Doğrulama Sağlayıcıları ile KYC/AML Entegrasyonu

1) Neden ihtiyaç duyulduğu ve hangi KPI'ların önemli olduğu

Hedefler: uyum, dolandırıcılık/aklama önlenmesi, ters ibrazların azaltılması ve ortakların/ödemelerin minimum sürtünme ile riskleri.

Temel metrikler:

Onay oranı (pazar segmentine/ödemeye/VIP'ye göre), FPR/FNR, onboarding süresi (p95), oyuncu doğrulama maliyeti.
Yaptırımlara göre isabet oranı/PEP/Olumsuz Medya, manuel vakaların payı, eksik kontrollerin yüzdesi.
SLA sağlayıcısı (çalışma süresi, gecikme, p95 yanıtı), retrai/entegrasyon hataları.

2) Temel entegrasyon mimarisi

Katmanlar:

1. Orchestrator (risk alma hizmetiniz): Sağlayıcılar arasındaki talepleri kurallara/ülkelere/doğrulama türlerine göre yönlendirin.

2. Sağlayıcılar SDK/API: KYC (ID + Liveness), AML (санкции/PEP/Adverse Media), Adres, Yaş, Cihaz.

3. Özellik Deposu/Risk Motoru: sonuçları, bayrakları, puanlama ve sahtekarlık önleme özelliklerini saklar.

4. Vaka yönetimi: manuel kontroller, temyiz, ikinci basamak incelemesi.

5. Denetim ve Uyumluluk: Değiştirilemez karar günlükleri, kuralların/modellerin sürümleri, düzenleyiciye raporlar.

Olay akışları:

Kayıt - Yaş/Kimlik.
İlk Depozito/İçinde - Geliştirilmiş Durum Tespiti (miktar/risk ile EDD).
Tekrarlayan AML Taraması: Yaptırımları/POP'u programa göre yeniden kontrol edin (günlük/haftalık).
Tetikleyici tabanlı: ayrıntıların değiştirilmesi/cihaz/geo - yeniden ekran.

3) Kontrol türleri ve tam olarak ne yaptıkları

Belge Doğrulama: pasaport/kimlik/su. Sertifika/oturma izni; OCR + MRZ/Barkod, orijinallik kontrolü.

Liveness & Biometrics: aktif/pasif liveness, face-match (selfie↔document).

Adres Doğrulama: adres kanıtı (fatura/banka ekstresi), bazen adres kayıtları.

Yaptırımlar/PEP/İzleme listeleri: OFAC/UN/EU/UK HMT + yerel; Siyasi olarak açıkta kalan kişiler; İstenmeyen medya listeleri/mahkeme kayıtları (Advers Media).

Yaş Doğrulama: doğum tarihi ve yerel eşikler.

Cihaz/E-posta/Telefon: risk sinyalleri (tek kullanımlık alanlar, sanal numaralar, proxy/hosting).

KYB (ortaklar/tüccarlar için): yasal belgeler, yararlanıcılar (UBO), kayıt kayıtları, olumsuz haberler.

4) Orkestrasyon ve risk bazlı yaklaşım

Yönlendirme kuralları: belge ülkesi - sağlayıcı A, kapsama alanı yoksa - sağlayıcı B; VIP/Yüksek - EDD paketi.

Adım atma mantığı: Yumuşak kontrol (veri kaynakları) - risk altında selfies/belgeler istiyoruz.

Kompozisyon: AML taraması + IDV + Adresinin kombinasyonu, yargı alanına (MGA/UKGC/Curacao, vb.) Ve yaşam döngüsünün aşamasına (ödeme vs ödeme) bağlıdır.

Yeniden tarama: periyodik (örneğin, yaptırımlarla günlük) ve olay (ülke/belge değişikliği).

5) API tasarımı ve entegrasyon modelleri

Idempotency & retries: tüm çağrılar - idempotency anahtarı ile; Üstel geri çekimler, zaman aşımları, devre kesici.

Webhooks: processing - completed - reviewed.

Giriş doğrulama: biçim kontrolü (MRZ, ISO ülkesi, yazma belgesi).

Eser depolama: şifreleme, TTL/yargı yetkisine göre saklama, "minimum gerekli" erişim.

Örnek sorgu (sözde):

http
POST/kyc/start
{
"user_id": "u_123," "flows": ["IDV "," AML"] ", country_hint": "DE", "document_types": ["PASSPORT ", "NATIONAL _ ID"] ", webhook_url": "https ://risk. örnek. com/webhooks/kyc"
}

Sağlayıcı yanıtı:

Json
{
"session_id": "sess_abc," "durum": "beklemede", "redirect_url": "https://provider/flow/sess_abc"
}

Webhook sonucu:

Json
{
" : " "  "durum": "onaylandı", "kontroller": {
"idv": {"liveness": "pass", "face_match": 0. 92, "doc_authenticity": "pass"}, "aml": {"yaptırımlar": "açık", "pep": "açık", "adverse_media": "yok"}
}, "risk_score": 18
}

6) Veri kalitesi: tipik sorunlar ve çözümler

Adların transliterasyonu/değişkenliği: fonotik algoritmalar, normalleştirme, takma ad tabloları kullanın.

Latin olmayan komut dosyaları: Kiril/Arapça/Hanzi'deki isimlerin karşılaştırılması - yerel karşılaştırma modülleri.

Doğum tarihi/adres: biçimlendirme, belge ve ödeme adresi ile çapraz kontrol (BIN/AVS).

Yaptırımlar/REP'de yanlış eşleşmeler: bulanık skor ve tırmanma kurallarının ayarlanması (genç isimler, sık soyadları).

Fotoğraf kalitesi: UX istemleri (ışık, çerçeve, vurgular), otomatik netlik/açı kontrolü.

7) SLA, gözlemlenebilirlik ve uyarılar

Gecikme hedefleri: Etkileşimli giriş ≤ katalog/tarama isteği başına 60-120 ms + asenkron adımlar ≤ 2-3 dk (belgeler).

Çalışma süresi: ≥ 99. Kritik bitiş noktaları için %9; Çift sağlayıcı (active-active/active-standby).

Uyarılar: büyüme 'error _ rate', bozulma 'hit _ rate', atlama 'review _ rate', webhook'ların "sessiz pencereleri", OCR/Liveness gecikmeleri.

Günlükler/izleme: Önden sağlayıcıya korelasyon kimliği; Maskeli yükler; Çözüm ve nedenlerin depolanması.

8) Vaka yönetimi

Vaka kuyruğu: miktar/risk/bölgeye göre öncelik.

Playbooks: Müşteriden ne isteyeceğinizi (tekrar selfie, başka bir belge, adres kanıtı).

Manuel durumlar için SLA: p95 ≤ 24 saat; Yüksek değerli ≤ 2 ч.

İtirazlar: yeniden eşleşme + bağımsız inceleme; Başarısızlık nedenlerinin belgelenmesi (olumsuz eylem bildirimi).

9) Uyumluluk ve gizlilik

GDPR/yerel muadilleri: amaç sınırlaması, veri minimizasyonu, erişim/silme hakkı (varsa).

PCI DSS: ödeme bilgileri etkilenirse.

PSD2/SCA: Ödeme adımlarında güçlü kimlik doğrulama ile korelasyon.

Saklama: Yalnızca gerekli eserleri ve yalnızca yasa/düzenleyicinin gerektirdiği kadar saklayın.

Açıklanabilirlik: "karar mantığını" düzeltin - sistemin dayandığı şey (canlılık başarısızlığı, doc uyumsuzluğu, PEP vuruşu).

10) Maliyet ve tedarik modeli

Fiyatlandırma: çek başına, paket oranları, bölgesel oranlar, EDD/Advers Media ek ücretleri.

Optimizasyon: risk tabanlı orkestrasyon (ucuz sağlayıcı - folbacking ile pahalı), TTL'de önbellekleme sonuçları, delta tarafından yeniden ekran.

RFP kontrol listesi: belge/ülke kapsamı, canlılık/yüz eşleştirme doğruluğu, yaptırımlar/RAP güncelleme oranı, gecikme, web kitapları, SDK, raporlar, DPIA/sertifikasyon, hazır seçenekler, adli/düzenleyici uygulama, iGaming referansları.

11) KYB: B2B/partners ile çalışırken

Kayıtlar: Şirketler Evi, yerel ticaret kayıtları, UBO zincirleri.

Belgeler: kuruluş, tüzük, banka mektupları, müdürler/avukatlık yetkileri.

Gösterim: UBO ve Direktörler için Yaptırımlar/PEP, Marka/Varlığa Göre Olumsuz Medya.

Yeniden ekran tetikleyicileri: direktör/adres/yararlanıcı değişikliği, ciroda keskin artış.

12) UX ve dönüşüm: onboarding nasıl "kırılmaz"

Mobile-first: Otomatik komut istemli SDK (çerçeve, eğme, parlama koruması).

Kullanıcı için kılavuz: Önceden ne hazırlanır (belge, aydınlatma), işlemin ne kadar süreceği.

İlerleme çubuğu ve açık durumlar.

Zarif geri dönüş: kamera/sensörler mevcut değilse - alternatif bir akış (manuel yükleme + sonraki doğrulama).

13) Olaylar ve fauller

Arızaya karşı güvenli mod: Sağlayıcı düştüğünde, korumaya geçiş + minimum yeterli kuralların uygulanması.

Bozulma politikası: Kontrol tamamlanana kadar para çekmeden sadece küçük limit depozitolarına izin veriyoruz.

Ertelenmiş doğrulama: Güven ihtiyacına ilişkin bir notla geçici limitlerin verilmesi.

14) Entegrasyon testi ve sertifikasyonu

Sağlayıcı sanal alanları: "mutlu "/" mutsuz "yollar için komut dosyaları, kenar durumları (vurgular, kırpılmış belge, ikizler).

Sözleşme testleri: yanıt şemasının düzeltilmesi, API sürümlerinin taşınması.

Load: peak releases/promo (x5-x10 trafik), uzun webhook'lar, reorder etkinlikleri.

DR alıştırmaları: bir sağlayıcının bağlantısını kesmek, web kitaplarını bırakmak, geri alma sürümleri.

15) Model Karar Kuralları

Örnek karar tablosu (basitleştirilmiş):

Durum	Eylem	Yorum yap
Yaptırımlar = hit (güçlü maç)	YALANLAMA	Uyumluluğa yükseltme, rapor
PEP = olası + Olumsuz = negatif	İNCELEME/EDD	Add. fon kaynakları
Liveness = fail или FaceMatch <0. 8	RETRY (1-2 kez) - İNCELEME	UX ipuçları
Adres = başarısız + Yüksek riskli ülke	TUTUN	Tekrar adres kanıtı
Temiz KYC/AML + Düşük risk puanı	ONAYLAYIN	Politika sınırları

16) Tam bir durum örneği (kısaltılmış)

Senaryo: Almanya'dan yeni oyuncu, 300 € depozito, bonus isteği.

1. Yumuşak kontrol (AML hızlı): temiz.

2. IDV: pasaport + selfie, canlılık = geçiş, face_match=0. 93, doc = gerçek.

3. Adres: Hizmet faturası geçti.

4. Karar: ONAY, 2.000 €'ya kadar çıkış limiti, günlük tekrarlanan AML-yeniden ekran.

5. Denetim: Motorun kayıtlı sürümleri, sağlayıcı, kurallar, özellikler ve gerekçe.

17) Uygulama kontrol listesi

Yetki alanına göre yük devretme ve yönlendirme özelliğine sahip orkestratör.
Sözleşmeler/SLA'lar/fiyat etiketleri, DPIA'lar ve yasal onaylar.
Webhooks, idempotency, inzivalar, izleme.
Vaka yönetimi ve EDD oyun kitapları.
Periyodik yeniden tarama ve olay tabanlı tetikleyiciler.
Kalite izleme (isabet oranı, FPR/FNR, geçiş süresi).
Saklama/Kaldırma ve Erişim Politikası (RBAC).
DR planı ve bozunma egzersizleri.

Özgeçmiş Özeti

Güçlü bir KYC/AML entegrasyonu'bir sağlayıcıyı bağlamak'değil, kararların riske dayalı, şeffaf ve hızlı bir şekilde alındığı birden fazla kaynaktan bir orkestrasyon oluşturmaktır. IDV, Liveness, yaptırımlar/REP ve adresi birleştirin, vaka yönetimi ve sert denetim uygulayın, folback sağlayıcılarını koruyun ve UX'i unutmayın - bu şekilde düzenleyicilerin gereksinimlerini yerine getirir ve yüksek bir onboarding dönüşümü sağlarsınız.