Table of Contents

E-KYC คือ

E-KYC ย่อมาจาก Electronic Know-Your-Customer คือ การยื่นยันตัวบุคคลผ่านช่องทาง Electronic นั่นแหละ เราไม่จำเป็นต้องไปด้วยตัวเรา แต่เราอาศัยขั้นตอนบางอย่างยื่นยัน ว่า รายการนี้เราเป็นคนทำจริง ๆ นะ

แบบที่ใช้อยู่ในปัจจุบัน

  • Biometric Authentication คือการใช้ อวัยวะของเรานี่แหละ เช่น ลายนิ้วมือ เสียง ม่านตา
  • National Digital ID (NDID) เครือข่ายการยืนยันตัวบุคคล ที่เกิดจากการรวมมือของธนาคาร
  • Register บน Web คือ ระบบ Register ธรรมดานี้แหละครับ ถือว่าเป็น E-KYC แบบหนึ่ง

มาตรฐานเกี่ยวกับ E-KYC

Identity ที่ได้รับการยอมรับในการเป็นตัวแทนบุคคลได้ เช่น เลขประจำตัว ชื่อบุคคล ที่อยู่ วันเดือนปีเกิด อีเมล หมายเลขโทรศัพท์มือถือ ภาพใบหน้า หรือข้อมูลระบุอุปกรณ์ที่บุคคลใช้งาน

ส่วน Identity สำหรับนิติบุคคล เช่น เลขทะเบียนนิติบุคคล ชื่อนิติบุคคล ที่ตั้งสำนักงานใหญ่ หรือ ชื่อกรรมการนิติบุคคล

สิ่งที่ใช้ยืนยันตัวตน authenticator หมายถึง สิ่งที่บุคคลครอบครองและควบคุมเพื่อใช้ในการยืนยันตัวตน ประกอบด้วย

  • something you know สิ่งที่เรารู้อยู่คนเดียว เช่น Password
  • something you have สิ่งที่เรามี เช่น บัตรประชาชน Token USB
  • something you are สิ่งที่เราเป็น เช่น ลายนิ้วมือ
e-KYC

มาตรฐานระดับความน่าเชื่อถือ

มีการประเมินระดับความน่าเชื่อถือ เป็น 2 ด้าน ดังนี้

ระดับความน่าเชื่อถือของการพิสูจน์ตัวตน Identity assurance level : IAL

เป็นการพิจารณาเกี่ยวกับขั้นตอนการทำงานว่าน่าเชื่อถือแค่ไหน โดยแบ่งออกเป็น 3 ระดับ IAL 1 ( ต่ำสุด ) -> IAL2 -> IAL3 ( สูงสุด )

ระดับความน่าเชื่อถือของการยืนยันตัวตน Authentication assurance level : AAL

เป็นการพิจารณาหลักฐานต่าง ๆ ในการยืนยันตัวตน ว่ามีอะไรบ้าง มีกี่อย่าง น่าเชื่อถือแค่ไหน โดยแบ่งออกเป็น 3 ระดับ AAL1 ( ต่ำสุด ) -> AAL2 -AAL3 ( สูงสุด )

ระดับ IAL1 คือ

  • ตรวจสอบสำเนาหรือรูปถ่ายของหลักฐานแสดงตน
  • ตรวจสอบลักษณะทางกายภาพของหลักฐานแสดงตนโดยเจ้าหน้าที่
  • ตรวจสอบข้อมูลบนหน้าหลักฐานแสดงตนและตรวจสอบสถานะของบัตรประจำตัวประชาชน
  • เปรียบเทียบภาพใบหน้าของบุคคลกับภาพในหน้าบนหน้าหลักฐานแสดงตน
  • ยืนยันช่องทางการติดต่อของบุคคลที่สมัครใช้บริการ เช่น หมายเลขโทรศัพท์ อีเมล

ระดับ IAL2 คือ

  • ไปพบเจ้าหน้าที่โดยตรง face to face
  • พิสูจน์ตัวตนผ่านเครื่องให้บริการ
  • หรือผ่าน Application

ระดับ IAL3 คือ

  • ไปพบเจ้าหน้าที่โดยตรงแบบ face to face

ระดับ AAL1 คือ

สิ่งที่ยืนยันตัวตนของเรา ได้ โดยในระดับนี้ เราต้องมีอย่างน้อย 1 อย่าง จากตัวอย่างข้างล่าง

  • รหัสลับจดจำ (memorized secret)
  • อุปกรณ์สื่อสารช่องทางอื่น (out-of-band device)
  • อุปกรณ์ OTP แบบปัจจัยเดียว (single-factor OTP device)
  • ซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic software)
  • อุปกรณ์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic device)

ระดับ AAL2 คือ

สิ่งที่ยืนยันตัวตนของเราได้ โดยการยืนยัน ต้องมีอย่างน้อย 2 วิธี

การยืนยันตัวตนด้วยปัจจัยของการยืนยันตัวตนที่แตกต่างกัน 2 ปัจจัย สามารถทำได้ 2 วิธี ดังนี้
(1) การใช้สิ่งที่ใช้ยืนยันตัวตนแบบปัจจัยเดียว (single-factor authenticator) ซึ่งเป็นปัจจัยที่แตกต่างกัน
จำนวน 2 อัน เช่น การกรอกรหัสผ่าน (สิ่งที่คุณรู้) และข้อมูลลับที่ส่งมายังโทรศัพท์เคลื่อนที่ของ
ผู้ใช้บริการทาง SMS (สิ่งที่คุณมี)
(2) การใช้สิ่งที่ใช้ยืนยันตัวตนแบบหลายปัจจัย (multi-factor authenticator) จำนวน 1 อัน เช่น อุปกรณ์
OTP แบบหลายปัจจัย (multi-factor OTP device) ซึ่งจะสร้างรหัสผ่านใช้ครั้งเดียว (one-time
password: OTP) หลังจากผู้ใช้บริการกรอกเลขรหัสส่วนตัวหรือสแกนลายนิ้วมือที่ถูกต้อง

  • อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device)
  • ซอฟต์แวร์เข้ารหัสลับแบบหลายปัจจัย (multi-factor cryptographic software)
  • รหัสลับจดจำ (memorized secret) ร่วมกับอุปกรณ์สื่อสารช่องทางอื่น (out-of-band device)
  • รหัสลับจดจำ (memorized secret) ร่วมกับอุปกรณ์ OTP แบบปัจจัยเดียว (single-factor OTP device)
  • รหัสลับจดจำ (memorized secret) ร่วมกับซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว (single factor cryptographic software)

ระดับ AAL3 คือ

ระดับ AAL3 ให้ความมั่นใจระดับสูงมากว่าบุคคลที่กำลังเข้าใช้บริการครอบครองและควบคุม
สิ่งที่ใช้ยืนยันตัวตนของผู้ใช้บริการ โดยระดับ AAL3 กำหนดให้ใช้การยืนยันตัวตนด้วยปัจจัยของการยืนยัน
ตัวตนที่แตกต่างกัน 2 ปัจจัยเป็นอย่างน้อย และใช้สิ่งที่ใช้ยืนยันตัวตนที่มีคุณสมบัติเป็นฮาร์ดแวร์ (hardwarebased) บรรจุกุญแจเข้ารหัส (cryptographic key) และสามารถป้องกัน IdP ตัวปลอม (IdP impersonation
resistance)

  • อุปกรณ์เข้ารหัสลับแบบหลายปัจจัย (multi-factor cryptographic device)
  • อุปกรณ์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic device) ร่วมกับรหัสลับจดจำ (memorized secret)
  • อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device) ร่วมกับอุปกรณ์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic device)
  • อุปกรณ์ OTP แบบหลายปัจจัย (multi-factor OTP device) เฉพาะที่เป็นฮาร์ดแวร์ ร่วมกับซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว (single-factorcryptographic software)
  • อุปกรณ์ OTP แบบปัจจัยเดียว (single-factor OTP device) เฉพาะที่เป็นฮาร์ดแวร์ ร่วมกับ ซอฟต์แวร์เข้ารหัสลับแบบหลายปัจจัย (multi-factor cryptographic software)
  • อุปกรณ์ OTP แบบปัจจัยเดียว (single-factor OTP device) เฉพาะที่เป็นฮาร์ดแวร์ ร่วมกับซอฟต์แวร์เข้ารหัสลับแบบปัจจัยเดียว (single-factor cryptographic software) และรหัสลับ
  • จดจำ (memorized secret)

Contact Fusion Click

Facebook
X
LinkedIn

Popular Blog posts