Saltar a contenido

Ciclo de vida del cheque de confianza

Cada verificación de confianza de Polyguard sigue tres fases: Preparación, Verificación de confianza y Auditoría. Esta página describe lo que sucede en cada fase, cómo funciona el paquete JWT y cómo se mantiene la transparencia bilateral.

Fase 1: Preparación

La preparación consiste en las llamadas API necesarias para crear un objeto Link antes de que pueda comenzar la verificación de confianza.

Creando un enlace

Un enlace define la configuración de la verificación de confianza: su título, las pruebas requeridas y cualquier parámetro coincidente. Los enlaces son reutilizables de forma predeterminada: cada uso produce registros de eventos y declaraciones juradas de transacciones independientes.

POST /api/v1/links
{
  "title": "Identity Verification",
  "required_proofs": ["government_id", "location", "pg_presence"],
  "matching_params": { ... }
}

Opcional: importar datos específicos de la transacción

Durante la preparación, opcionalmente puede adjuntar datos específicos de la transacción (como tokens o ID de referencia) al enlace. Estos datos se pueden transmitir entre entornos Polyguard mediante comprobaciones de confianza, lo que permite flujos de trabajo entre sistemas.

Lo que obtienes a cambio

La API devuelve un objeto Link con un ID y una URL. La URL es lo que usted inserta en su aplicación web (a través del SDK web) o pasa a la aplicación móvil (a través del SDK móvil) para iniciar la verificación de confianza.

Fase 2: Verificación de confianza

Esta es la fase de verificación de identidad en tiempo real. El flujo difiere ligeramente entre los contextos de escritorio y móvil, pero el protocolo subyacente es el mismo.

Flujo de escritorio

  1. El SDK web muestra una superposición modal en el navegador.
  2. El usuario final escanea un código QR con la aplicación móvil Polyguard (o recibe una notificación automática si ya está emparejado).
  3. Se establece una conexión WebSocket entre la aplicación web, la aplicación móvil y el sistema Polyguard, todos conectados al mismo punto final regional.
  4. El Usuario Final completa las pruebas requeridas en su dispositivo móvil (biometría facial, escaneo de documentos, etc.).
  5. Las puntuaciones y los resultados de presencia se procesan dentro de la infraestructura de Polyguard.
  6. Los resultados se devuelven a la aplicación web a través de la devolución de llamada del SDK.

Flujo móvil

  1. El SDK móvil activa una redirección a la aplicación móvil Polyguard (o un flujo de verificación en la aplicación si se utiliza el SDK móvil integrado).
  2. Se produce la misma coordinación de sesiones basada en WebSocket.
  3. Al finalizar, el usuario es redirigido nuevamente a la aplicación que realiza la llamada con los resultados.

Coordinación de sesiones de WebSocket

Tanto el lado web como el móvil de una verificación de confianza se conectan a la misma Sesión de enlace a través de WebSockets. Estas conexiones deben terminar en el mismo punto final regional. El sistema Polyguard maneja el enrutamiento regional automáticamente (consulte Multitenencia y regionalización para obtener detalles sobre cómo funcionan los redireccionamientos).

Recibir resultados

Los resultados de la verificación de confianza se envían a su aplicación a través de dos canales:

Canal Entrega Caso de uso
Devolución de llamada del SDK Síncrono, en el navegador o aplicación móvil Actualizaciones inmediatas de UX: muestra el estado de verificación, desbloquea el siguiente paso
Webhook POST HTTP asincrónico a su backend Validación del lado del servidor, mantenimiento de registros y activación de flujos de trabajo posteriores

Configuración de webhook

Los webhooks se configuran por Aplicación en el modelo de objetos de Polyguard. Establezca la URL del webhook al crear o actualizar la configuración de su aplicación. Consulte los documentos API REST para conocer el esquema de carga útil del webhook.

Fase 3: Auditoría

La fase de auditoría está disponible en cualquier momento después de que se completa una verificación de confianza. Proporciona total transparencia sobre lo que se verificó, por quién y con qué respaldo criptográfico.

Datos de auditoría disponibles

Recurso Descripción Acceso
Registros de eventos Registro detallado de cada acción realizada durante la verificación de confianza. API DESCANSO
Declaraciones juradas de transacciones Registros no repudiables y firmados criptográficamente de la verificación de confianza completada API DESCANSO
Infraestructura de clave pública Puntos finales conocidos para localizar claves públicas de PolyUser y verificar firmas JWT HTTPS (URI conocidos)

Transparencia bilateral

Todos los registros de auditoría están disponibles para todas las partes de cada verificación de confianza. Esto significa:

  • El Operador de plataforma puede acceder a registros para cumplimiento y resolución de disputas.
  • El Usuario comercial puede revisar los resultados de la verificación de sus transacciones.
  • El Usuario final puede ver qué pruebas se presentaron y a quién.

Este modelo de transparencia bilateral garantiza que ninguna de las partes tenga una ventaja informativa y que la pista de auditoría esté disponible para que cualquier participante pueda realizar una verificación independiente.

Paquete JWT

El paso final de cada verificación de confianza es una POST HTTP de un paquete JWT firmado desde la aplicación móvil al punto final del sistema Polyguard.

Estructura

Un paquete JWT contiene un conjunto de JWT individuales, cada uno firmado por la cadena de confianza correspondiente como prueba que representa. Por ejemplo, un JWT de prueba de identificación gubernamental está firmado con claves arraigadas en la cadena de confianza del socio de verificación de identidad, mientras que un JWT de prueba de identidad del dispositivo está firmado con claves arraigadas en la infraestructura de certificación de Apple o Google.

Campos clave

Campo JWT Valor Objetivo
Emisor (iss) ID de usuario poli Identifica al Usuario Final. Permite que cualquier parte que confía localice las claves públicas relevantes en la ubicación conocida de Polyguard.
Audiencia (aud) FQDN del sistema Polyguard + ID de aplicación Identifica el destinatario previsto y el contexto de la aplicación.

Verificación

Cualquier parte que confía puede verificar de forma independiente un paquete JWT mediante:

  1. Extrayendo el iss (Poly User ID) de cada JWT.
  2. Obteniendo la clave pública correspondiente del punto final conocido de Polyguard.
  3. Validar la firma JWT con la clave pública.
  4. Verificar el campo aud para confirmar que el JWT estaba destinado a la aplicación esperada.

Esto hace que los resultados de la verificación de confianza sean verificables de forma independiente sin necesidad de volver a llamar a las API de Polyguard.

Resumen de secuencia

Preparation         Trust Check                    Audit
-----------         -----------                    -----

Create Link    -->  Display modal / redirect  -->  Query event logs
(set proofs,        WebSocket session              Retrieve affidavits
 import data)       Biometric + proof capture      Verify JWT signatures
                    Score processing               (available to all parties)
                    JWT Bundle posted
                    Results via SDK + webhook

Para obtener detalles de implementación, consulte el Inicio rápido del SDK web o la referencia del SDK web completa.