Come posso verificare che un'organizzazione sia quella che dicono di essere online?

Naviga le tue risposte
4

Sto creando un sito Web che consente alle organizzazioni non profit e alle organizzazioni governative (parchi, ecc.) di iscriversi e pubblicare annunci di servizi. I conti che pubblicano le inserzioni devono essere verificati per proteggere la sicurezza dei volontari che vogliono andare a fare i progetti di servizio.

Tutte le organizzazioni non profit hanno un codice EIN che può essere confermato utilizzando un database online, ma il lato negativo è che chiunque può cercare l'EIN e rappresentare l'organizzazione. In questa domanda , la risposta è usare le transazioni finanziarie per verificare la persona, ma con un'organizzazione, il coordinatore volontario (che probabilmente sta facendo questo account) probabilmente non ha accesso ai dati finanziari (non ho mai lavorato con un'organizzazione come questo quindi potrei sbagliarmi qui).

Ho pensato alla verifica dell'e-mail, ma non tutte le organizzazioni hanno le e-mail di contatto pubblicate sui loro siti web per confermare, così come i problemi di accesso già menzionati con i dati finanziari.

Come posso verificare che la persona che crea l'account sia un rappresentante dell'organizzazione non profit o governativa che affermano di rappresentare?

    
posta Ian 19.08.2014 - 21:15
fonte

5 risposte

2

Suggerirei di avere più modi in cui qualcuno potrebbe confermare la propria identità con il proprio sito. Simile al modo in cui il DMV richiede due forme di ID per ottenere una patente di guida (una da "opzione A" e una da "opzione b", ecc ...)

Ci sono molti esempi già dati: (se possibile, darei all'utente molte opzioni e ne richiederò solo alcune)

  • Verifica via email: invia un'email a un indirizzo email ufficiale del dominio (forse anche l'indirizzo email whois).
  • Utilizza un messaggio di testo / sistema di chiamata con un pin. (puoi anche utilizzare i dati whois ufficiali)
  • La vecchia conferma del deposito bancario di 1 centesimo come quella risposta che hai trovato dichiara
  • Chiedi all'utente di caricare un file univoco sul loro sito web

Ecco altri due:

Google quando aggiungi la tua attività, invia una cartolina con un codice time-sensitive su di esso all'indirizzo commerciale registrato. Potresti semplicemente guardare le informazioni di contatto whois e spedire loro una lettera di verifica. Anche se il loro sito è registrato come "privato", qualunque azienda stia "proteggendo" le tue informazioni ovviamente devono conoscere il tuo indirizzo reale / elencato e quindi possono inoltrare la corrispondenza. Qui contiene ulteriori informazioni su come lo fa Google e qui contiene ancora più informazioni.

Un modo più automatico per fare ciò è come PayPal implementa un vero sistema di verifica degli ID delle foto. Basta scannerizzare una copia di una carta d'identità ufficiale e inviarla a loro. Ai fini dell'utente, è possibile richiedere qualsiasi documentazione ufficiale relativa alla società / organizzazione (moduli fiscali, ad esempio).

Bare in mente, nessuno di questi è sicuro soluzioni antincendio. Anche i migliori sistemi sono a volte vulnerabili alle frodi. Suggerirei vivamente gli audit come mezzo per vedere continuamente la vostra base di utenti.

Inoltre, potresti voler esaminare un sistema di classificazione per i tuoi volontari per valutare quell'organizzazione dopo il fatto: una valutazione inferiore viene contrassegnata per la tua recensione ...

    
risposta data 27.08.2014 - 23:14
fonte
1

Se non hai bisogno di una verifica immediata, puoi raccogliere email di dipartimenti di paesi diversi che controllano le organizzazioni non profit e così via e creare modelli di messaggi in cui spieghi che hai bisogno di conferma APPENA POSSIBILE, e le e-mail saranno essere inviati automaticamente alla destinazione corrispondente dopo la registrazione. In questo modo non devi limitare il tuo progetto solo agli Stati Uniti.

    
risposta data 20.08.2014 - 21:09
fonte
1

Diversi modi di verificare consentono a più persone di iscriversi. Alcune opzioni aggiuntive:

  1. Quando l'organizzazione ha un sito Web senza e-mail di contatto, potresti chiedere loro di aggiungere qualcosa al loro sito web, ad esempio un file txt non collegato o qualcos'altro.

  2. Se ha un indirizzo postale, puoi spedire loro un codice di conferma. Lato negativo: è costoso.

  3. Se ha un numero di telefono sul suo sito web, puoi chiamarlo usando quello. È meno costoso dell'opzione 2.

risposta data 20.08.2014 - 21:55
fonte
1

Un pensiero se si sta registrando e stai chiedendo il loro indirizzo e-mail molte volte viene rilasciato un indirizzo aziendale (anche se la società non ha un indirizzo email pubblico come punto di contatto). Ciò funzionerebbe meglio se il sito ha installato un certificato EV in quanto si potrebbe essenzialmente raschiare il proprio sito Web e verificare che sia stato emesso da una CA valida, che lo ha già validato come attività legittima. Se conosci già l'organizzazione e ti fidi di loro, potrebbe essere semplice, assicurandoti che l'indirizzo email di registrazione contenga il loro dominio.

Come altri hanno già detto, puoi anche usare il numero di telefono sul loro sito. Ciò potrebbe richiedere tempo di lavoro e telefono a causa di molti posti con centralini robotici, ma se puoi raggiungerli senza un centralino robotico potresti usare qualcosa come Twilio per automatizzare la chiamata.

Poi c'è anche loro la conferma della lumaca che è stata anche menzionata.

    
risposta data 21.08.2014 - 00:18
fonte
1

Google ha un metodo interessante per la verifica del dominio che può essere applicato. Fai in modo che caricino un file chiamato qualcosa "a8br35.txt" da qualche parte sul loro server.

    
risposta data 27.08.2014 - 04:56
fonte

Leggi altre domande sui tag

Modo corretto per eseguire la crittografia sicura bidirezionale su un sito web nonce nell'handshake SSL / TLS