如何設計個人與企業實名認證流程?
隨著互聯網業務的開展,為了維護信息安全、資金安全,實名認證成了許多互聯網細分領域必須要完成的一個工作。本文作者從自身工作經驗出發,分享了個人和企業實名認證流程設計中需要注意的相關元素以及存在的問題,供大家一同參考和學習。
實名認證,對我們來說并不陌生,最常見的就是我們申請銀行一類卡的時候,是必須本人親自到銀行網點,帶著身份證進行面對面鑒權的,保證了信息的真實性與準確性。此外,前些年剛落實的電話實名制,國家也是要求運營商在開展業務的過程中做好實名認證工作。
實名認證主要體現在社交類產品、媒體資訊類產品、互聯網金融、支付結算等領域。這些領域要么涉及信息安全(比如謠言的散播),要么涉及資金安全(比如信息的冒用與資金盜用),所以必須要做好實名認證工作。
從認證的主體來分,實名認證包括個人實名認證與企業實名認證。
個人實名認證主要依賴以下數據源:公安部門身份數據庫(通過身份證號碼和姓名來校驗是否一致)、銀聯數據庫(通過姓名、身份證號、手機號、銀行卡來校驗信息是否一致)、運營商數據庫(通過合規運營商檢驗姓名、身份證、手機號碼是否一致)。目前市面上常見的個人實名認證方式有:身份證二要素、運營商三要素、銀行卡三要素、銀行卡四要素。
企業實名認證主要依賴工商部門企業信息數據庫(通過企業名稱、社會信用代碼、法人名稱、法人身份證來校驗信息是否一致),目前市面上常見的企業實名認證方式有:企業工商信息四要素、企業銀行對公賬戶認證(包括主動打款認證、被動打款認證)。
本篇文章主要向大家介紹基于公安部門與銀聯數據庫的個人實名認證流程、基于工商部門信息數據庫的企業實名認證流程,這也是第三方支付平臺普遍會提供的認證能力。
一、個人實名認證流程設計
1. 身份證二要素
即通過姓名與身份證號來校驗信息是否一致,目前國內最具權威性的居民信息來自NCIIC,全稱是全國公民身份證號碼查詢服務中心,也就是常說的公安部接口。
這里要注意的是,由于身份證是有特定格式規范的,因此前端可以提前對身份證的格式進行校驗,若不合規,即可報錯,無需調用接口進行校驗,可減少后端壓力。
身份證二要素僅僅能校驗姓名與身份證號是否一致,無法避免因個人信息泄露帶來的信息盜用問題,在百度上、或者其他網絡渠道要找到一個身份號不是一件難事。
如何規避上述問題?有的平臺會要求用戶在實名認證時,拍攝并上傳身份證正面與反面照片。如果把設計做得更加友好一點,可以利用圖像識別能力,自動讀取用戶的姓名與身份證信息,減少用戶輸入量。
這里有個有趣的問題想要問問大家,你覺得身份證正面是帶有個人信息的一面還是國徽面呢?
正確的答案是國徽面。雖然是個小問題,但是在產品設計引導用戶上傳身份證照片的時候,最好避免使用身份證正面或者反面這種提示文案,存在歧義,可以使用“個人信息面”或者“國徽面”類似的文案。
即使讓用戶上傳了身份證,還是會存在漏洞,比如我直接盜用了他人的身份證照片呢?這種情況其實也是存在的。所以有些平臺會在身份證二要素的基礎上,加上人臉識別環節,即綜合“姓名+身份證號+人臉識別”來校驗用戶信息的真實性。以下為百度提供的個人實名認證流程方案,可以簡單了解一下。
2. 銀行卡三要素
即通過姓名、身份證號碼、銀行卡號來校驗信息是否一致,底層調用的是銀聯接口,通過銀行卡三要素進行實名鑒權,這種實名認證方式還是比較少用的。
3.?銀行卡四要素
與銀行卡三要素相比,四要素多了一個銀行預留手機號,即通過姓名、身份證號碼、銀行卡號、銀行預留手機號來校驗信息是否一致。
這是比較常見的實名認證方式,銀行卡四要素其實是銀行卡快捷支付的一個副產品,綁定快捷支付銀行卡一般還需要短信驗證碼。
在用戶通過四要素+驗證碼完成實名認證后,間接也就完成了綁卡流程。快捷支付實際上是一個授權,是用戶、平臺與銀行之間簽訂的協議,即用戶授權平臺可以直接從銀行卡中劃扣款項。
快捷支付綁卡是接入第三方支付平臺的電商平臺基本都會實現的一個功能,因為快捷支付的流程相對傳統的網銀支付、銀聯在線支付來說,整個支付流程是非常簡短的,只需要用戶在平臺做支付密碼的校驗即可,支付流程的簡單帶來的是支付轉化率高,早期的微信支付在春節紅包晚會上,就是依靠綁卡率的快速上漲,有效的沉淀了大量的用戶。
以蘇寧金融APP的實名認證流程為例
- 首先引導用戶通過手動或者圖像識別的方法,輸入用戶的銀行卡號。
- 根據卡號帶出對應的銀行,引導用戶補充個人信息,包括姓名、身份證號、手機號,點擊“驗證銀行卡”,對四要素進行校驗。
- 四要素信息一致后進入手機驗證碼激活環節,驗證碼校驗成功后,實名認證成功,并綁定銀行卡。以上就是一個完整的四要素實名認證環節,在設計的時候,可以將流程分為三個部分,減少用戶焦慮,分步驟引導用戶完成實名認證,包括個人信息的輸入、銀行卡信息的輸入、手機驗證碼校驗環節。
二、企業實名認證流程設計
企業實名認證常見于電商平臺,比如企業入駐電商平臺成為賣方、有些B2B電商平臺也會要求買家也完成實名認證,其他以企業身份提供享有或者提供服務的平臺,比如微信公眾號的企業認證、B端產品中的企業微信或者釘釘,完成企業實名認證可以享有更多的功能。
1.?企業工商信息四要素
即通過校驗企業名稱、企業社會信用代碼、企業法人姓名以及法人身份證號的信息是否一致,一般還會要求上傳企業營業執照照片。目前市面上很多機構均有提供企業工商信息四要素認證,第三方支付平臺也是通過調用此類接口為平臺提供鑒權服務。
企業實名認證有個地方需要注意的是認證接口數據更新的實時性問題,企業進行法人的變更是比較常見的現象,但是鑒權機構的數據接口的更新可能存在滯后的問題,保存的還是舊的法人信息,導致企業進行實名認證時,發生法人信息不一致的錯誤。
2.?企業銀行對公賬戶認證之“被動打款”
企業銀行對公賬戶認證是比企業工商信息四要素認證更為嚴謹的認證方式,被動打款指的是用戶提供企業名稱、企業社會信用代碼、法人姓名以及對公銀行賬戶完成企業信息一致性的基本校驗,第三方支付平臺或者其他認證機構向用戶提供的對公賬戶隨機打款,金額一般在0~1元之間,用戶查到打款金額后,在認證界面輸入對應的數字,完成對公賬戶的認證。
這種方式之所以稱為被動打款,是從認證用戶的角度出發,認證機構是打款方,待認證的用戶是被動接收打款的一方。
為什么說這種企業實名認證方式更為嚴謹呢?這得從企業對公賬戶本身的安全性說起,一般只有企業內部相關崗位的人員,才擁有企業對公賬戶的key,登陸進入企業網銀界面進行相關的查詢與資金操作動作。
原型設計中,可以將整個流程分為兩大部分,包括企業信息與對公賬戶信息的填寫與校驗、打款金額的填寫與認證。
需要注意的是,打款校驗允許錯誤的次數一般是有限的,超過之后只能重新提交審核并再次觸發打款金額。用戶超過指定的時限未輸入金額進行驗證,也會導致本次驗證流程失效。
由于企業銀行對公賬戶認證流程比較復雜,所以平臺如果涉及企業結算的需求,也可以把本次認證成功的賬戶作為企業結算提現賬戶,后續就不用重復綁卡了。
企業對公賬戶認證原型界面設計
3.?企業銀行對公賬戶認證之“主動打款”
該認證方式與“企業銀行對公賬戶認證之被動打款”的差異在于打款校驗環節,在該認證方式中,用戶在提交企業基本信息與銀行對公賬戶A的信息后,認證機構會提供一個另外一個對公賬戶B,用戶需要在指定時限內使用提交的對公賬戶A向對公賬戶B匯一筆指定的金額,一般在0~1元之間,匯款金額正確后,則完成對公賬戶的認證。
這種方式比較少見,因為需要用戶主動去打款,顯得比較強勢。目前企業開通微信支付商戶資格時,需要進行對公賬戶認證,采用的就是這種方式,如下圖:
三、寫在最后
以上列出的只是本人對接的支付平臺提供的一些實名認證能力,雖然實名認證方式多樣化,但是最根本的數據源還是基于公安部門數據庫、銀聯數據庫、企業工商信息數據庫以及其他權威性性數據源比如運營商。不同的實名認證方式往往對應著不同的安全級別,越高安全級別往往對應著越為復雜用戶操作流程,平臺應該根據自身的實際業務以及風控實際需求,選擇最合適的實名認證產品。
作者:小狼人,微信公眾號:人稱產品汪。不定期更新本人在對接第三方支付平臺與銀行存管系統中的經驗心得、支付知識、產品心得等。
本文由 @ 小狼人? 原創發布于人人都是產品經理,未經作者許可,禁止轉載。
題圖來自Unsplash,基于CC0協議。
請教下老師,關于銀行卡三要素鑒權、四要素鑒權,這些鑒權的動作是銀行做嗎?還是有專門的第三方機構做,如果是第三方機構做的話,主要是哪些第三方?如何收費的呢?
鑒權是在第三方的鑒權服務器執行的,這些數據來自各家銀行,第三方提供接口,比如銀聯就有,還有其他的,這個算是比較常見的API,大部分數據公司都有做,收費的話,華為云的是三毛一次,多的話更便宜。
請教一下前輩,被動打款的自動轉賬隨機金額是如何實現的?
一般第三方支付平臺能提供這種能力,有專門的鑒權產品
好的,謝謝,那是要付費了,還有什么其他方法嗎?可不可以通過上傳開戶許可證等進行人工審核對公賬戶?
其實整個過程分為兩個環節,第一,用戶得提供資質,證明你是你,這個是最基礎的(這個可以走人工審核)。第二、為了證明你對這個對公賬戶有實際掌控能力,平臺可以通過主動或者被動打款的形式再做最后一層校驗。
你說的其實是第一步,可以要求用戶上傳資質憑證進(你說的開戶許可證是其中一項),具體要求什么憑證,這個是風控問題了,上傳的資料少,門檻低、風險高,反之。
請教一個問題,一個網站的部分功能需要企業認證后才能使用,那如何解決兩個用戶同時認證同一家企業呢?
根據網站(你們公司的實際業務)來做產品方案的落地,不同的公司對方案的訴求可能不同??梢苑窒硪幌挛抑翱吹降膸讉€網站的做法:
1、A網站,一個B2B電商平臺,對企業資質管控十分嚴格,同一個企業是不能同時被多個獨立的賬號認證的,這時候第一個認證的賬號,成為了公司的主體賬號,該主體賬號可以添加其他未認證的賬號作為子賬號,分配不同的操作權限。還有一個問題就是企業信息被盜用了,一個真實的公司去認證的時候發現自己的公司無法認證了,那么平臺會提供申訴的路徑。
2、B網站,是一個B2B供求信息的發布與展示平臺,該平臺支持多個用戶同時認證同一家企業,有個缺點就是用戶可以看到多個企業店鋪,但是都是同個公司的,這種平臺就對企業認證的限制比較松,但是我覺得有點弊端。
所以,兩個用戶同時認證一家企業在技術上是沒問題的,但是帶來的業務問題也是不少的,可能要考慮一下潛在的幾個問題:你們的網站是什么類型的,兩個用戶認證一個企業,對前端普通用戶有影響嗎,會不會造成混淆。兩個用戶認證一個企業,對你們平臺的管理與未來發展的規劃會有沖突嗎等等。
所以,大概的方案有:
方案一:直接就是每個賬號都可以認證同一家企業,只要鑒權正常就行。
方案二:不支持兩個用戶同時認證一個企業,但是可以提供主體賬號與子賬號類似的功能,就是已完成實名認證的企業,可以授權給其他賬號,其他賬號也不需要再走一次實名認證流程了。
因為不知道你的網站具體是什么業務,暫時給不出其他想法~
非盈利組織的企業,如學校、醫院等如何企業認證?
這個還真的沒接觸過,如果沒有接口的話,只能依靠上傳對應的資料,然后人工審核了吧。搜了一下學校使用釘釘怎么實名認證,找到了這個“學校若只有辦學許可證,可以在企業認證時選擇【政府/事業單位】(組織機構代碼證),然后填寫信息和上傳辦學許可證、企業認證授權函提交審核?!県ttps://www.dingtalk.com/qidian/help-detail-1000029966.html
有跟企業四要素相同的接口服務,非企業四要素api接口。有興趣可以一起溝通一下!
您好,我正在做有關的認證,請問可以交流一下么?
被動打款,如果遇到不良企業多次故意金額輸錯,導致平臺多次打款到企業賬戶,這種該如何規避呢
首先這種情況應該是少之又少,真有這么奇葩的用戶。我覺得平臺可以自己做風險控制,超出一定的次數(這個閾值可能得設置高一點)可以發起預警,甚至暫時凍結該企業賬號,后面這個企業客戶如果想繼續審核了,那就直接找客服處理吧
平臺只打一次款,企業輸錯金額驗證不會通過,不存在平臺需要多次打款
國內的認證還比較容易,國外認證就很難了,尤其是針對不同地區不同人群不同企業,每個國家擁有不同的身份認證標準或者渠道。
嗯嗯,是的,國外用戶認證確實是個難題,我對接的渠道里面,基本都沒寫清楚國外用戶的對接方案,問起來的話就是人工審核,哈哈
可以考慮跟鄧氏碼那個合作,做國外企業的認證服務。
目前也在苦惱國外認證的問題,各國之間的認證標準不同,即使人工審核也要考慮各國的證書的準確性,大家有什么建議的嗎