Биометрия по лицу и ладони: регуляторы разработали новое постановление

Что произошло

Агентство по регулированию и развитию финансового рынка (АРРФР) и Национальный банк выпустили проект совместного постановления правил проведения биометрической аутентификации финансовыми и платёжными организациями, в том числе на основе отпечатков ладони.

Детали

Совместное постановление включает: 

• порядок биометрической аутентификации по изображению лица аутентифицируемого;
• порядок проведения биометрической аутентификации на основе отпечатка ладони;
• порядок проведения биометрической аутентификации посредством Центра обмена идентификационными данными Национального банка (ЦОИД);
• случаи обязательного использования и (или) наполнения биометрическими данными Национальной системы биометрической аутентификации (НСБА), полученными ЦОИД.

Как работает процесс биометрической аутентификации по изображению лица 

Для того, что пройти биометрическую идентификацию пользователю нужно сделать своё текущее фото, по загруженному снимку определяется личность человека, подтягивается проверенное фото из базы провайдера и далее проводится автоматическая сопоставление двух изображений.

Получение достоверного текущего изображения лица пользователя и идентификационных данных осуществляется провайдером биометрической аутентификации с помощью программного обеспечения на мобильном устройстве или компьютере.

По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ.

Как работает биометрическая аутентификация по отпечаткам ладони

Процесс биометрической аутентификации на основе отпечатка ладони аутентифицируемого происходит почти точно также:

• с помощью биометрического сканера пользователь создает отпечаток ладони;
• программа начинает проверять данные о том, кто пытается войти в систему;
• из базы данных верифицированных отпечатков ладони провайдера биометрической аутентификации подтягивается отпечаток ладони, который пользователь делал при подключении к системе;
• текущий отпечаток сравнивается с отпечатком из базы данных.

Биометрический сканер для получения отпечатка ладони должен обеспечивать следующие меры защиты:

• контроль целостности программного обеспечения и прошивки устройства;
• защиту от несанкционированного вмешательства и изменения конфигурации оборудования;
• идентификацию используемого устройства в системе провайдера биометрической аутентификации;
• защиту каналов передачи данных между устройством и системой сличения биометрических данных.

Использование мобильных устройств аутентифицируемого для целей проведения биометрической аутентификации по отпечатку ладони не допускается. По результатам проверки достоверности отпечатка ладони от её успешности также формируется электронный документ

Контекст

В конце декабря в министерстве искусственного интеллекта и цифрового развития РК (МИИЦР РК) сообщали, что доступ к крупным базам персональных данных казахстанцев будет защищён биометрией. 

При работе с базами данных, содержащими более 100 тысяч записей персональных данных, собственники, операторы и третьи лица обязаны при применении многофакторной аутентификации одним из методов использовать биометрическую аутентификацию.

"Такая мера направлена на точную идентификацию пользователей и снижение рисков доступа посторонних лиц к персональным данным, в том числе входа в систему под чужими логинами и паролями", – прокомментировал вице-министр МИИЦР РК Досжан Мусалиев.