EU 自 2019 年起生效
PSD2 · RTS on SCA
委员会授权法规 (EU) 2018/389
范围
强客户认证:知识、占有、固有特征三者中至少两项;交易绑定。
Hongi 的定位
Hongi 在围绕支付授权的对话中提供互补的带外占有因子。它不取代 SCA;它防御那些绕过原本有效的 SCA 流程的社会工程攻击(受欺诈诱导的交易、顾问冒充)。
- $3BBEC 与 CEO 欺诈的年度损失FBI IC3 2024
- €40M比利时网络钓鱼与电话钓鱼损失Febelfin 2024
- Dec 2027EUDI Wallet 接受截止日期Regulation (EU) 2024/1183
- 80%+由 AI 增强的社会工程ENISA Threat Landscape 2025
合规空白。
SCA 覆盖客户交互的两端:登录与交易签署。中间发生的一切,电话、视频会议、邮件往来,都没有实时的身份证明。诈骗电话、深度伪造视频和 CEO 欺诈正寄生于这一中间地带。
由 SCA 覆盖
Hongi 填补的空白
监管地图。
八项与 Hongi 所守护的渠道中的身份保证相关的框架。每一项都给出 Hongi 的定位与作用,并附上主要来源。
- 2019 PSD2 RTS-SCA 已生效
- 2024 EBA fraud reporting 指南更新
- Oct 2024 NIS2 已转化为国内法
- Jan 2025 DORA 已生效
- Dec 2027 EUDI Wallet 接受为强制
基础性法规 3
EU 自 Jan 2025 起生效
DORA
法规 (EU) 2022/2554
范围
金融部门的数字运营韧性。第 9 条(保护与预防),第 17-19 条(ICT 事件报告)。自 2025 年 1 月 17 日起生效。
Hongi 的定位
缩减触发 ICT 相关事件的社会工程攻击面。可选审计日志(配对哈希的 Merkle 树,不含身份信息)支持在不保留个人数据的情况下进行事后重建。
EU Dec 2027 强制
eIDAS-2 · EUDI Wallet
法规 (EU) 2024/1183
范围
依赖方自 2027 年 12 月起强制接受欧盟数字身份钱包(第 5f 条)。强加密的身份证明。
Hongi 的定位
Hongi 与 EUDI 并行,承担人际信道的实时验证:EUDI 证明凭证已被出示,Hongi 证明电话中的声音属于凭证持有人。两个正交问题,一套架构。
配套框架 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05(2024 更新)
EU
银行致电客户期间一次失败的 Hongi 交叉核验,是一种干净、机器可读的信号,可在现有卡欺诈方案漏报之处,填充欺诈报告(CEO 欺诈、电话钓鱼)。
2024 已更新 主要来源 →
NBB · ICT-veiligheid
比利时国家银行审慎指引 + DORA 实施
BE
面向远程银行-客户与银行内部交互的运营级身份保证层,与 NBB 关于 ICT 支持服务治理的框架一致。
生效中 主要来源 →
GDPR · privacy by design
法规 (EU) 2016/679,第 25 条
EU
没有姓名、电话、邮箱、通讯录、口令历史、分析数据。共享密钥仅存在于两台已配对设备上;服务器仅转发不透明的密文。在数据泄露中几乎没有什么可泄漏的。
自 2018 年起生效 主要来源 →
NIS2
指令 (EU) 2022/2555
EU
为高风险远程交互(交易批准、漏洞响应、供应商接入)在访问控制中加入身份保证层,弥补文本通道 MFA 无法覆盖的部分。
2024 已转化 主要来源 →
NIST SP 800-63-4 + ENISA TL 2025
NIST 数字身份指南,2025 年 7 月 · ENISA Threat Landscape 2025
GLOBAL
直接针对 ENISA 列为首要的威胁。以会话级、机制无关的人际信道证明(电话、视频、当面)补充 NIST 的认证保证级别。
行业标准 主要来源 →
它在业务运营中如何体现。
在 B2B 路线图中 查看路线图 →面向客户与内部流程的六个运营场景。下述机制需要组织级配对与审计日志,这些功能正在我们活跃的 B2B 路线图中,尚未交付。我们将在 Q4 2026 与银行启动首批试点。任一场景中漏失一次验证都带有已知的六位数尾部成本。
01
€40M
比利时网络钓鱼与电话钓鱼 · Febelfin 2024
银行外呼客户
PSD2 RTS-SCAEBA fraud reporting
没有 Hongi
当电话诈骗者掌握合适的上下文时,客户无法将其与真正的顾问区分开。
使用 Hongi
客户的口令必须与顾问的口令一致。不一致就没有对话。
02
$25.6M
一次深度伪造视频通话 · Arup 2024
客户接入视频会话
eIDAS-2GDPRKYC/AML
没有 Hongi
深度伪造换脸冲击远程 KYC。屏幕上的脸未必与上传的证件相符。
使用 Hongi
KYC 审核前,双方在摄像头前朗读匹配的口令。会话内即留下凭证。
03
$3B
年度 BEC 损失 · FBI IC3 2024
内部验证(BEC / CEO 欺诈)
DORANIS2
没有 Hongi
CEO 紧急汇款请求、签名相符、声音听起来对。钱已经走了。
使用 Hongi
任何异常付款前先做实时口令核验。一次配对即封堵该漏洞。
04
4h+
DORA 事件报告窗口
事件响应
DORA Art. 17-19NIS2
没有 Hongi
攻击者利用事件混乱:假冒 IT、假冒支持、假冒 IR 厂商。
使用 Hongi
每一次内部通话都以口令核验把关。不一致就不执行任何指令。
05
€100k+
高价值转账的典型阈值
高价值交易确认
PSD2 RTS-SCAEBA fraud reporting
没有 Hongi
通过电话授权 €100k+ 的转账,却没有任何带外证据证明客户是真实的。
使用 Hongi
客户朗读当前口令,顾问确认匹配。付款附带凭证继续。
06
avg €40k
每起供应商发票欺诈事件
供应商 / 服务商 KYB
DORA supply-chainNIS2
没有 Hongi
供应商电话身份证明薄弱。发票欺诈正坐在这一漏洞之上。
使用 Hongi
在 KYB 时完成配对。此后每一次供应商通话都由 Hongi 核验。无需猜测。
可经受 DPO 审视的架构。
您的 DPO 可在半天内审计完 Hongi 的部署。下面列出当组织为员工与客户部署 Hongi 时我们在服务器上保留的全部内容。
- 按设备的推送令牌。 由 APNs/FCM 颁发的不透明标识符。不与任何真人姓名建立映射。仅用于静默推送通知路径;不用于常规口令验证(该过程完全离线)。
- 可选的配对哈希审计日志。 对于需要根据 DORA 第 17 条或 NBB 指引追溯的 B2B 部署,Hongi 可追加配对哈希的 Merkle 树日志(不含身份、不含口令)。可通过 Merkle 证明验证。不上公共链。
- 小费支付元数据。 仅与面向消费者的产品相关,不涉及 B2B。通过 Stripe 处理。Hongi 仅能看到发生过小费及金额;无任何信息与用户挂钩。
我们不存储: 姓名、电话号码、邮箱、通讯录、口令历史、通话记录、位置、转写、生物特征、广告标识符。 两台已配对设备之间的验证密钥仅存于这两台设备上,并在本地派生。
下一步
预约 30 分钟的试点沟通。
Hongi 团队将与您的合规、反欺诈与 IT 负责人坐下来,逐步梳理您最具影响的用例。如有契合,我们将开展为期 6 个月、最多 500 名客户或员工的免费试点。无需采购、无须授权、无暴露风险。
Hongi (Lovit BV) · Vlaanderen, 比利时 · info@hongi.io