Утверждены правила биометрической аутентификации банками и МФО

Документом установлены принципы использования и защиты биометрических данных:

• сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 Правил;
• биометрические данные защищаются от несанкционированного распространения;
• документирование процессов сбора, хранения и уничтожения биометрических данных.

При этом правила не распространяются на процессы биометрической аутентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями посредством собственных аппаратных устройств.

Заказчик биометрической аутентификации утверждает описание процесса биометрической аутентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической аутентификации.

Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:

• получение достоверного текущего изображения лица аутентифицируемого;
• получение идентификационных данных аутентифицируемого;
• получение эталонного изображения лица идентифицируемого;
• сличение текущего и эталонного изображения лица аутентифицируемого.

Получение текущего изображения лица аутентифицируемого и идентификационных данных осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере.

При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.

По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:

• результат проверки достоверности изображения;
• идентификационные данные;
• перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;
• реквизиты заказчика биометрической аутентификации;
• дату и время проведения проверки достоверности изображения.

Эталонное изображение аутентифицируемого лица получают из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической аутентификации.

Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица аутентифицируемого.

По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:

• изображение лица аутентифицируемого, полученное по результатам проверки достоверности изображения;
• идентификационные данные;
• результат сличения изображений;
• реквизиты заказчика биометрической аутентификации;
• дату и время проведения сличения изображений.

Электронный документ по результатам сличения биометрических данных:

• удостоверяется ЭЦП провайдера биометрической аутентификации, осуществлявшего сличение изображений;
• сохраняется в базе данных верифицированных изображений провайдера биометрической аутентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
• хранится у заказчика биометрической аутентификации.

Постановление вводится в действие с 20 апреля.

Мы сообщали, что в Казахстане утвердили Правила исчисления ставок вознаграждения по займам и вкладам.