Contattateci
Demo

PVID PROVIDER: Netheos, in fase di certificazione da parte dell’ANSSI.

Che cos'è un provider PVID?

Al fine di combattere il furto di identità su Internet e le frodi in generale, ilANSSI Agence Nationale de la Sécurité des Systèmes d’Information, un’agenzia francese), pubblicato il 1° gennaio 2011.er Marzo 2021 una serie di requisiti per valutare il livello di sicurezza dei servizi « Remote Identity Verification Providers » PVID) e, in ultima analisi, per certificarli.

È possibile scaricare liberamente questo repository PVID dal sito web dell’ANSSI.

Per saperne di più su questo standard, è possibile guardare la replica gratuita del nostro webinar « Provider PVID: quali sono le novità per l’onboarding dei clienti? »

Perché una nuova certificazione in Francia e perché il PVID?

Il fornitore di PVID certificato riceverà una certificazione rilasciata dall’ANSSI. Questo marchio permetterà all’intero ecosistema di sapere cheuna soluzione di verifica dell’identità è stata sottoposta a un audit rigoroso e può quindi essere considerata, di fatto, affidabile.

Questa certificazione aiuterà le organizzazioni e le aziende altamente regolamentate, come le banche e le compagnie di assicurazione, a scegliere i propri fornitori. In particolare, nel contesto della lotta al riciclaggio di denaro e al finanziamento del terrorismo (LCB-FT), quando desiderano implementare l’opzione 5th misura supplementare di due diligence del codice monetario e finanziario. La scelta di un fornitore certificato PVID (Remote Identity Verification Provider) sarà quindi obbligatoria per garantire la conformità del processo KYC (Know Your Customer).

Siete interessati da questo nuovo standard?

Questo è il caso se siete soggetti al regolamento LCB-FT. Un Remote Identity Verification Provider consentirà l’implementazione di una risposta ai vostri obblighi KYC e la configurazione della vostra conformità, quando il rapporto commerciale viene avviato a distanza. Tuttavia, non bisogna dimenticare che esistono altre soluzioni per garantire la conformità, come la firma elettronica qualificata ai sensi del regolamento europeo eIDAS.

Ma sarete indirettamente interessati anche se desiderate offrire ai vostri clienti un servizio fiduciario digitale disciplinato dal regolamento europeo eIDAS, come la posta elettronica raccomandata o la firma elettronica qualificata. In Francia, il Trusted Service Provider (TSP) deve integrare una soluzione PVID o essere certificato come PVID Provider se vuole implementare un servizio remoto qualificato.

Volete contattare un esperto Netheos?

Le informazioni raccolte in questo modulo saranno inviate a un esperto di soluzioni Netheos che vi contatterà al più presto. I dati forniti gli permetteranno di personalizzare l’assistenza per soddisfare al meglio le vostre aspettative.

Contactez un expert Netheos

Cosa bisogna ricordare dello standard PVID?

Definisce un livello di garanzia a due livelli: sostanziale ed elevato.

Livello alto

Gli attaccanti sono considerati « ad alto potenziale di attacco ». Questo livello sarà riservato, in linea di principio, alle esigenze dello Stato, dove i rischi sono più elevati.

Livello sostanziale

Si ritiene che gli aggressori abbiano un « potenziale di attacco moderato ». La sicurezza della soluzione deve essere garantita ed equivalente all'incontro diretto con il vostro banchiere o con un qualsiasi dipendente che controlla la vostra identità, le vostre informazioni e i vostri documenti, al solo scopo di evitare le frodi.

Il livello sostanziale è quindi adatto alla maggior parte degli usi, come l’apertura di un conto bancario online KYC), la stipula di un’assicurazione, la ricezione di una raccomandata elettronica qualificata, la firma elettronica a distanza di livello qualificato (equivalente a una firma autografa), ecc.

Per questi motivi, l’ANSSI ha definito dei requisiti di sicurezza, tra cui

  • Acquisizione video completa dell’utente (senza foto, né per il documento d’identità né per la biometria) ad alta risoluzione (720p).
  • Controllo umano sistematico come complemento al controllo automatico (chiamato controllo ibrido).
  • Monitoraggio e formazione approfonditi degli operatori che convalidano le identificazioni.
  • Un’infrastruttura controllata con elevati standard di sicurezza.

PVID e RGPD: cosa fare per essere conformi?

L’ANSSI ha consultato la CNIL in diverse occasioni durante la stesura del quadro di riferimento, che comprende un certo numero di requisiti direttamente collegati al RGPD.

In pratica, l’anonimizzazione degli elementi di identificazione (video) deve avvenire dopo 96 ore sui server applicativi.

Parallelamente, è obbligatoria l’archiviazione legale dei documenti e delle prove d’identità. Nelle specifiche dell’ANSSI non è specificata la durata, ma un periodo di 7 anni sembra essere un buon compromesso e coerente con altre normative.

Chi sono i fornitori di PVID?

Attualmente, nessun settore ha completato il processo di certificazione dei fornitori PVID. Per conoscere l’elenco dei fornitori di servizi in corso di certificazione, è possibile visitare la pagina ufficiale dell’ANSSI

A
nessun fornitore è ancora certificato

Quando Netheos sarà certificato PVID?

Specialista nella verifica dell’identità dal 2013, Netheos è attualmente in fase di valutazione per la certificazione PVID ed è presente nella pagina ufficiale dellANSSI.

Di fronte alla pubblicazione definitiva del quadro dei requisiti dell’ANSSIAgence Nationale de la Sécurité des Systèmes d’Information, un’organizzazione francese) e in considerazione delle sue specificità, ci è sembrato coerente prendere 6 mesi per sviluppare le nostre tecnologie in linea con esso prima di presentare la nostra domanda e cercare di fornire una risposta coerente. Così nel settembre 2021 l’abbiamo depositata, con una nuova tecnologia brevettata che combina sicurezza ed esperienza del cliente. Siamo ora nella fase finale del processo di certificazione.

Soluzioni Netheos

Già utilizzate da diversi grandi clienti francesi, le nostre soluzioni « Facematch » mirano a :

  • Accompagnare l’utente finale passo dopo passo, in particolare attraverso video esplicativi e consigli contestuali,
  • Ridurre al minimo i falsi positivi, cioè i casi di blocco visibili al cliente,
  • Perfermare le frodi più sofisticate e l’usurpazione dello stato dell’arte della professione.

Queste soluzioni sono accessibili direttamente tramite API o tramite la nostra offerta Trust & Sign che, integrato con il nostro team di supporto alla configurazione, consente ai nostri clienti di accedere a un servizio di un ampio catalogo di servizi di fiducia. Alcune offerte soddisfano anche gli obblighi normativi della LCB-FT, come la firma qualificata (ai sensi della 6° misura di vigilanza del codice monetario e finanziario ) o l’identità digitale di livello sostanziale delle Poste francesi (che esonera dall’attuazione di 2 misure di vigilanza).

Poiché l’identità è ora intesa nel senso più ampio del termine, altri servizi di Trust & Sign vi permetteranno di conoscere meglio i vostri clienti, come l’analisi automatizzata dei dati/documenti dei clienti o l’interrogazione dei dati di un’azienda. Diamante di Sepamail per verificare un numero di conto corrente bancario.

Netheos è una società francese, filiale di Namirial dal 2021, un gruppo europeo di origine italiana con oltre 800 dipendenti in 25 paesi per un fatturato annuo di 100 milioni di euro.

LogoFloa-800-800
logo-prefon
logo-franfinance
logo-universign
allianz-trade-logo
logo-cnp-assurances
logo-cdc-habitat
Logo La Banque Postale
Logo_RVB_couleur_dark_blue
logo-yousign-2020-800-800
Precedente
Successivo
Rimanere in contatto
Linkedin Twitter Facebook
Newsletter
In diretta dal blog
netheos_namirial_logo_white
GRUPPO NAMIRIAL