KYC uchun hujjatlarni qanday xavfsiz baham koʻrish mumkin

KYC (Know Your Customer) - litsenziyalangan kazinolar va fintech xizmatlarida majburiy tartib. Fishing, pochtadan fayllarni o’g "irlash, HTTPSsiz" ko’zgular "va bulutlar orqali tasodifiy sizib chiqish xavfi katta. Quyida - o’yinchi hujjatlarni imkon qadar xavfsiz va operator o’z navbatida nima qilishi shart.

1-qism. KYC hujjatlarini xavfsiz topshirish - oʻyinchi uchun qadamlar

1) Kanalning haqiqiyligiga ishonch hosil qiling

Xatchoʻpdan faqat https ://( qulf xatosiz) orqali rasmiy domenga kiring.

Fayllarni shaxsiy kabinetingizda yoki mobil ilovada oʻrnatilgan KYC portali orqali uzating.

Hujjatlarni chat/messenjer/ijtimoiy tarmoqlarga va xodimlarning shaxsiy pochtalariga yubormang.

Agar sizdan pochtaga yuborishni soʻrashsa, kabinetda aniqlik kiriting. Zarurat tug’ilganda himoyalangan arxivdan foydalaning (6-bandga qarang).

2) To’g "ri fayllarni tayyorlang

Rasm yoki PDF uchun rangli JPEG/PNG formati.

Sifati: filtrsiz, hamma narsa o’qish mumkin; burchaklarni kesib tashlamang, neyron tarmoqlar bilan yaxshilamang.

Nimani yopish mumkin:

bank ko’chirmasida - balansni/bog’liq bo’lmagan operatsiyalarni yashiring, operator so’ragan F.I.O., manzil, sana va rekvizitlarni qoldiring;
kommunal xizmatlar uchun hisobvaraqda - summalarni yashirish mumkin.
Agar operator to’liq nusxani so’rasa - familiyasi, tug’ilgan sanasi, hujjat raqami, fotosurati, MRZ zonasi va amal qilish muddatini yopib qo’yish mumkin emas. Rasmiy yo’riqnomaga amal qiling: ba’zan qisman yashirishga yo’l qo’yiladi (masalan, 8 raqamdan 6 tasi), ba’zan - yo’q.

3) Selfie/" liveness "- qanday qilib to’g" ri qilish kerak

Ko’zoynaksiz/shlyapasiz/filtrsiz fotosurat, yaxshi yoritish.

Agar hujjatli selfi soʻralsa, «KYC uchun , sana» degan ikkinchi varaqni yonma-yon saqlang. Hujjat ma’lumotlarini yopmang, yozuv hujjatning o’zida emas, alohida qog’ozda.

4) Ortiqcha meta ma’lumotlarni olib tashlang

Yuklashdan oldin fayl xususiyatlaridagi EXIF (geolokatsiya/telefon modeli) ni yoki oʻrnatilgan tahrirchi orqali olib tashlang. PDF uchun «Track changes/Comments» ni oʻchirib, «tekis» hujjat sifatida saqlang.

5) Nomlar va tartib

Fayllarni aniq ayting:’ID _ Petrov _ 2025-10-22. jpg`, `UtilityBill_Petrov_2025-09. pdf`.

Hujjatlarni umumiy «sharing» ga qoʻymang - faqat KYC portaliga manzilli yuklash.

6) Agar pochta (istisno tariqasida)

.zip/.7z’ni AES shifrlash bilan siqing, parolni boshqa kanal orqali (masalan, kabinetdagi xabar orqali) uzating.

Xat mavzusida «pasport/ID» yozmang - neytral so’zlardan foydalaning.

7) Tasdiqlashni tekshiring

Yuklangandan soʻng, kabinetdagi holatni kuting (qabul qilindi/tekshirildi/tasdiqlandi).

Kirish va profil oʻzgarishlari haqidagi xabarlarni kiriting; g’alati faoliyat bilan shug’ullansangiz - zudlik bilan parolingizni o’zgartiring va sessiyalarni bloklang.

8) Muddatlar va huquqlar

Saqlash muddati (retention) va maxfiylik siyosatiga havolani bilib oling.

Litsenziyalangan sektorda sizda GDPR/analoglar bo’yicha huquqlar mavjud: ma’lumotlarga kirish, tuzatish, qayta ishlashni cheklash va majburiy muddatlar tugagandan so’ng olib tashlash.

2-qism. Operator nimani ta’minlashi kerak (KYC qabul qilish va saqlash uchun)

A) Himoyalangan qabul

Toʻliq HTTPS/TLS 1. 2/1. 3, HSTS, mixed-content taqiqlanishi, qat’iy CSP; mTLS va «CDN uchun» shifrlash.

In-app/KYC-portal: faqat logindan keyin yuklash, muddati tugagan bir martalik secure-links.

Antifishing: DMARC (p = reject), MTA-STS/TLS-RPT, CT-monitoring egizak domenlar.

B) Minimallashtirish va validatsiya

Faqat kerakli narsalarni soʻrash (SoF/SoW - chegaralar boʻyicha).

Ko’chirmalardagi ortiqcha maydonlarni yashirishning aniq qoidalari; ruxsat etilgan formatlar va misollar ro’yxati.

C) Fayllar va kalitlarni himoya qilish

at rest shifrlash, tarmoqlarni ajratish, eng kichik imtiyozlar boʻyicha foydalanish.

Kalitlar uchun KMS + HSM, rotatsiya va audit.

Antivirus/sensing ilovalar, zararli fayllar uchun «qum qutisi».

D) Jarayonlar va audit

Foydalanishning o’zgarmas jurnallarini (kim ko’rgan/ko’chirgan), DLP-alertlarni yuritish.

Rasmiy saqlash muddatlari va dalolatnoma/log bilan avtomatik ravishda olib tashlash.

Sapportni o’qitish: «tug’ilgan sanasiga ko’ra tashlash» yo’q, faqat reglament bo’yicha.

Foydalanuvchiga javoblar uchun DSAR (Data Subject Access Request) va SLA kanali.

E) UX va shaffoflik

«Nima yopish/nima qoldirish» misollari bilan bosqichma-bosqich yuklash ustasi.

Talabnomaning ko’rinadigan maqomi, ETA va yetishmayotgan hujjatlar ro’yxati.

Maʼlumotlar xavfsizligi sahifasi: maqsadlar, huquqlar bazasi, muddatlar, DPO aloqalari.

Tez - tez xatolar va ulardan qanday qochish mumkin

Xato	Nima uchun xavfli	Qanday qilib to’g’ri
Hujjatlarni Telegram/pochta orqali menejerga yuborish	Nazoratni yo’qotish, pochta qutilaridan chiqib ketish	Faqat KYC-portali; pochta - shifrlangan arxiv
HTTPS’siz oynaga yuklash	MITM, akkaunt va hujjatlarni o’g "irlash	Har doim https ://va domenni harf-harf bilan tekshiring
Perefotoshoplangan «yaxshilalkalar»	Tahrirlashga shubha tufayli rad etish	Filtrsiz; yorug’lik/keskinlik - tamom, lekin tarkibini o’zgartirmang
ID uchun muhim maydonlar yopildi	Qayta tekshirish, to’lovni kechiktirish	Koʻrsatmalarga amal qiling: faqat ruxsat etilganlarni yopish mumkin
Geometrik fayllar/EXIF	Ortiqcha shaxsiy ma’lumotlar	Yuklashdan oldin EXIFni oʻchiring
Bulutga ochiq havola	Begonalarning kirishi, indeksatsiya	Faqat ekspiratsiyali shaxsiy havolalar yoki portalga toʻgʻridan-toʻgʻri yuklash

Oʻyinchi uchun chek varaqasi (bosib chiqarish)

Saytga xatchoʻpdan https ://orqali kiraman; «podmensiz» domen.
Faqat KYC portali orqali yuklayman (chatlar/pochta orqali emas).
Filtersiz oʻqiladigan fayllarni tayyorladi; EXIF oʻchirildi.
Ko’chirmalarni ko’rsatmalar bo’yicha ortiqcha yashiraman.
«KYC uchun , sana» yozuvi bilan selfi/varaq (agar talab qilinsa).
Kabinetda maqom oldi; kirish/o’zgarishlar to’g "risidagi xabarnomalar kiritilgan.
Saqlash muddatlarini qayerdan ko’rish kerakligini va muddatdan keyin qanday qilib olib tashlash haqida so’rov topshirishni bilaman.

Operator uchun chek varaqasi

HTTPS/TLS 1. 2/1. 3, HSTS, CSP; ichki API uchun «CDN uchun», mTLS shifrlash.
KYC-portali secure-links va muddati tugagan, «pochta orqali qabul qilinmagan».
Minimallashtirish siyosati: biz nimani talab qilayotganimiz va ortiqcha narsalarni qanday yashirish kerakligi aniq.
Shifrlash at rest; KMS + HSM; rollar bo’yicha kirish; kirish daftarlari va DLP.
O’rnatilgan antivirus/qum qutisi, EXIF/meta ma’lumotlarni skanerlash.
Retention va avto-olib tashlash; DSAR-kanal; sapport o’rgatish.
Antifishing: DMARC (p = reject), CT-monitoring, kabinetdagi ogohlantirishlar.

Mini-FAQ

Hujjat raqamining bir qismini yopishtirish mumkinmi?

Agar yo’riqnomada aniq ruxsat berilgan bo’lsa. Aks holda, toʻliq nusxani taqdim eting.

Nima uchun elektron pochta orqali qabul qilmaslik kerak?

Pochta tez-tez sizib chiqadigan manbaga aylanadi. O’rnatilgan KYC portali afzalroq; pochta - faqat shifrlangan arxiv va boshqa kanal paroli bilan.

Tekshirilgandan soʻng fayllarni oʻchirish kerakmi?

O’yinchi - ha, mahalliy. Operator qonun/litsenziya bo’yicha kelishilgan muddatlar doirasida saqlaydi.

Nima uchun EXIF oʻchirish kerak?

EXIFda geometrlar va qurilmaning tafsilotlari mavjud - bu keraksiz shaxsiy ma’lumotlar, ular tekshirish uchun kerak emas.

KYC hujjatlarini xavfsiz uzatish ikkita harakatdir: (1) toʻgʻri kanaldan foydalanish (HTTPS orqali rasmiy KYC portali) va (2) ortiqcha maʼlumotlarni minimallashtirish (meta maʼlumotlarni olib tashlash, faqat ruxsat etilgan maʼlumotlarni yashirish). Operator tomonidan himoyalangan infratuzilma, minimallashtirish, qattiq kirish jarayonlari va tushunarli kommunikatsiyalar muhim ahamiyatga ega. Bunday yondashuv bir vaqtning oʻzida tekshirishni tezlashtiradi, maxfiylikni himoya qiladi va hamma uchun xavflarni kamaytiradi.