什么是身份保证？级别、框架和要求详解（2026）

根据英国科学、创新和技术部的数据，身份验证是数字化注册过程中欺诈的主要原因之一。尽管如此，许多合规团队和专家仍然不够重视身份验证，将其视为类似于基本身份验证的工作。

身份保证是指对所声称的身份的置信程度。 数字身份 实际上，这属于提交报告的人员。报告内容涵盖了团队如何收集和验证证据，以确保符合相关法规的方方面面。无论是在根据 NIST SP 800-63 还是英国数字身份和属性信任框架 (DIATF) 进行新客户注册时，保证级别都应该很高，因为这将决定您在合规性和防范欺诈方面所处的位置。

身份保证、身份验证和认证

人们经常将这三个词混用，但它们的功能却各不相同：

身份验证 是检查身份证明文件或生物特征信息是否真实的过程。

身份保证 这是一个更全面的术语，涵盖了整个验证过程的严谨程度。它包括过程中收集了哪些证据、合规团队和相关团队如何验证这些证据，以及这些证据在长期使用中的可靠性。

认证 指的是以下过程： 这是在身份验证之后进行的。它确认的是同一个经过验证的用户再次进入会话，而不是确认其身份最初是否被正确验证。

了解这三者之间的区别至关重要，尤其对于受监管的企业而言，因为，例如，一家金融机构…… 强大的客户身份验证但由于一开始的验证工作不够充分，它无法满足审计人员和监管机构的要求。

IAL1、IAL2 和 IAL3：NIST 身份验证级别详解

美国国家标准与技术研究院 (NIST) 的数字身份指南 (SP 800-63A) 定义了三个身份验证级别 (IAL)。这些级别是衡量身份验证严格程度的全球基准：

据我们观察，大多数金融服务机构通常都能达到 IAL2 级别。要达到这个级别，您的企业或机构必须拥有可靠的方法来执行文档验证、生物特征人脸匹配以及在需要时进行活体检测。

eIDAS 保证等级：低、中、高

《电子身份识别和共享系统条例》（欧盟 910/2014）及其修订版 电子IDAS 2.0 该框架提供三个级别的保障，您可以将其作为欧盟所有成员国电子身份识别的参考：

• 低： 这有m身份滥用风险极高 提供美容纤体， s适用于大多数基本数字服务。
• 重大的： 这一次 显著 r降低风险 您的客户的 身份被滥用。 它还 r需要 系列 of 多因素认证 拥有已验证的凭证。
• 高： It的的 最强级别 保证，以及 身份通常与物理或加密凭证绑定，并通过当面验证或同等方式进行验证。 预先批准的方法。 它'通常用于 ACCESS 高风险的公共和私人服务。

对于在欧盟境内运营的跨境服务，eIDAS 的“实质性”或“高级”认证是金融服务的基本要求。eIDAS 2.0 将此框架扩展至数字钱包，并将身份验证要求直接纳入消费者注册流程。

英国DIATF：英国市场的身份保证（2026年）

此 英国数字身份和属性信任框架（DIATF） 该软件由DIST发布，目前正处于测试认证阶段。它为企业提供了一种基于认证的方法来确保其客户群的身份。以下是其内容：

• 中等置信度: 相当于IAL2。 T他的 需要广告文件和生物识别检查必须进行交叉核对 对抗单一强敌。
• 很有信心: 相当于 IAL3。这将需要 企业 执行 m多项独立来源核实这些因素可能包括： 活动历史记录和生物特征绑定。

根据 DIATF 的规定，使用经认证的身份服务提供商的英国企业获得了法律依据，可以依靠这些检查来进行工作权、租房权和 DBS 验证。

对于金融服务公司而言 金融管理局行为 根据现行反洗钱规则，对客户进行监管和中等置信度检查是最低要求。

您的企业需要哪种身份验证级别？

这完全取决于您的监管环境、风险敞口和交易性质：

IAL2 是大多数金融科技、加密货币和 iGaming 运营商需要关注的主要标准。Shufti 的 文件验证, 脸部验证和 AML筛查 结合两者，可大规模提供 IAL2 同等质量保证，并提供完整的会话审计跟踪，以满足监管审查要求。

要达到身份验证级别 2 需要哪些证据？

IAL2 要求企业使用可信、权威记录中与真实个人关联的身份证据来证明身份。根据 NIST SP 800-63A，这通常包括：

• 一条强有力的证据: 这是当一个 政府签发的带照片的身份证明文件（护照、国民身份证或驾驶执照），“ 也曾 已核实无篡改 被某个组织使用。
• 生物特征绑定: 这个过程包括采取 身份证照片与实时自拍照的面部匹配情况 客户。它也应该是 符合 ISO 30107-3 标准的活体检测，以确保各种 演示攻击 被阻止。
• 地址或记录佐证: 这个人的 可选，但非常重要 建议， 尤其是给 通过水电费账单、银行对账单或电子记录匹配等方式提供金融​​服务。

身份验证与身份保证

身份验证是流程的操作环节，涉及企业收集文件、进行生物识别检查以及根据监视名单筛查客户身份。

身份验证是该流程的监管输出结果。它是根据证据质量和程序严谨程度，对该验证流程赋予的置信度等级。

即使企业能够进行彻底的校对，但如果它决定不记录其方法、不使用经批准的证据类型以及不保留审计日志，那么它可能仍然只能达到较低的保证水平。

这就是为什么 KYC平台 Shufti提供的服务能够为贵组织执行的每项验证生成结构化且条理清晰的审计跟踪记录。它提供完整的证据链，供像贵公司这样的企业在监管机构评估贵公司的保证水平是否达标时使用。

如果您的当前验证堆栈无法证明与 IAL2 等效的保证，则值得在下次合规性审计之前对其进行审查。 预约演示 了解 Shufti 如何与 NIST、eIDAS 和英国 DIATF 的要求相匹配。