Постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56 утверждены Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями, сообщает Учет.kz.
Целью настоящих Правил являются регламентация, документирование и обеспечение информационной безопасности процесса биометрической идентификации на финансовом рынке.
Постановление вводится в действие с 23 октября 2024 года, за исключением отдельных пунктов, которые вводятся в действие с 1 января 2025 года.
В соответствии с пунктом 5-5 статьи 34 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и пунктом 3-5 статьи 3 Закона Республики Казахстан «О микрофинансовой деятельности» Правлением Агентства Республики Казахстан по регулированию и развитию финансового рынка решено утвердить Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями (далее – Правила).
В Правилах используются следующие термины и определения:
1) провайдер биометрической идентификации – организация, предоставляющая услугу по получению достоверного текущего изображения лица идентифицируемого и (или) сличению текущего и эталонного образца изображения идентифицируемого;
2) идентифицируемый – физическое лицо, в отношении которого проводится процесс биометрической идентификации;
3) заказчик биометрической идентификации – организация, в интересах которой проводится процесс биометрической идентификации;
4) база данных, верифицированных изображений провайдера биометрической идентификации – база данных, создаваемая и хранимая провайдером биометрической идентификации, содержащая изображения лиц идентифицируемых, прошедшие успешное сличение с эталонным образцом, полученным из государственной базы данных изображений;
5) идентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической идентификации;
6) система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки живости изображения;
7) система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;
8) государственная база данных изображений – база данных, принадлежащая государству, содержащая идентификационные данные граждан Республики Казахстан, а также соответствующие им эталонные изображения лиц граждан Республики Казахстан.
Принципы использования и защиты биометрических данных:
1) сбор, хранение и уничтожение биометрических данных проводятся в соответствии с главой 2 настоящих Правил;2) биометрические данные защищаются от несанкционированного распространения;
3) документирование процессов сбора, хранения и уничтожения биометрических данных.
Заказчик биометрической идентификации утверждает описание процесса биометрической идентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической идентификации.
Биометрическая идентификация проводится по изображению лица идентифицируемого.
Порядок биометрической идентификации по изображению лица идентифицируемого
Процесс биометрической идентификации по изображению лица идентифицируемого включает в себя следующие этапы:
2) получение идентификационных данных идентифицируемого (далее – идентификационные данные);
3) получение эталонного изображения лица идентифицируемого;
4) сличение текущего и эталонного изображения лица идентифицируемого (далее – сличение изображений).
Получение текущего изображения лица идентифицируемого и идентификационных данных осуществляется провайдером биометрической идентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:1) результат проверки достоверности изображения;
2) идентификационные данные;
3) перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;
4) реквизиты заказчика биометрической идентификации;
5) дату и время проведения проверки достоверности изображения.
Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего проверку, и хранится у заказчика биометрической идентификации.
Получение эталонного изображения лица, идентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической идентификации.
Сличение биометрических данных осуществляется путем сравнения текущего изображения лица идентифицируемого с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.
По результатам сличения изображений независимо от успешности проверки в системе сличения биометрических данных формируется электронный документ, содержащий как минимум:
1) текущее изображение лица идентифицируемого;
2) идентификационные данные;
3) результат сличения изображений;
4) реквизиты заказчика биометрической идентификации;
5) дату и время проведения сличения изображений.
Электронный документ по результатам сличения биометрических данных:
1) удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего сличение изображений;
2) сохраняется в базе данных верифицированных изображений провайдера биометрической идентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
3) хранится у заказчика биометрической идентификации.
С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической идентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической идентификации или заказчика биометрической идентификации.
На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, заказчиком биометрической идентификации принимается решение об успешности биометрической идентификации.
Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической идентификации осуществляется заказчиком биометрической идентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая идентификация.
