Об утверждении Правил проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями
В соответствии с пунктом 9 статьи 58 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и пунктом 2 статьи 3-2 Закона Республики Казахстан «О микрофинансовой деятельности» Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
- Утвердить прилагаемые Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями (далее – Правила).
- Признать утратившим силу постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56 «Об утверждении Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями» (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 34950).
- Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
- Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
- Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
«СОГЛАСОВАНО»
Национальный Банк
Республики Казахстан
|
|
Приложение к постановлению Правления Агентства
Республики Казахстан
по регулированию и развитию
финансового рынка
от __ ____ 2026 года № __
|
Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями
Глава 1. Общие положения
- Настоящие Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями (далее – Правила) разработаны в соответствии с требованиями пункта 9 статьи 58 Закона Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» и пункта 2 статьи 3-2 Закона Республики Казахстан «О микрофинансовой деятельности».
Настоящие Правила не распространяются на процессы биометрической аутентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями посредством собственных аппаратных устройств.
- В настоящих Правилах используются следующие термины и определения:
1) провайдер биометрической аутентификации – организация, осуществляющая получение достоверного текущего изображения лица идентифицируемого и (или) сличение текущего и эталонного образца изображения лица идентифицируемого;
2) аутентифицируемый – физическое лицо, в отношении которого проводится процесс биометрической аутентификации;
3) заказчик биометрической аутентификации – организация, в интересах которой осуществляется процесс биометрической аутентификации;
4) база данных верифицированных изображений провайдера биометрической аутентификации – база данных, создаваемая и хранимая провайдером биометрической аутентификации, содержащая изображения лиц аутентифицируемых, прошедшие успешное сличение с эталонным образцом, полученным из государственной базы данных изображений, или полученные посредством аппаратных устройств провайдера биометрической аутентификации;
5) аутентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической аутентификации;
6) система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки достоверности изображения;
7) система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;
8) государственная база данных изображений – база данных, принадлежащая государству, содержащая идентификационные данные физических лиц, а также соответствующие им эталонные изображения лица.
- Принципы использования и защиты биометрических данных:
1) сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 настоящих Правил;
2) биометрические данные защищаются от несанкционированного распространения;
3) документирование процессов сбора, хранения и уничтожения биометрических данных.
- Заказчик биометрической аутентификации утверждает описание процесса биометрической аутентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической аутентификации.
- Биометрическая аутентификации проводится по изображению лица аутентифицируемого.
Глава 2. Порядок биометрической аутентификации по изображению лица аутентифицируемого
- Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:
1) получение достоверного текущего изображения лица аутентифицируемого;
2) получение аутентификационных данных аутентифицируемого (далее – аутентификационные данные);
3) получение эталонного изображения лица аутентифицируемого;
4) сличение текущего и эталонного изображения лица аутентифицируемого (далее – сличение изображений).
- Получение текущего изображения лица аутентифицируемого и аутентификационных данных осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
- При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов и (или) команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.
Выявленное несоответствие любому из направленных сигналов и (или) команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.
- По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:
1) результат проверки достоверности изображения;
2) аутентификационные данные;
3) перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;
4) реквизиты заказчика биометрической аутентификации;
5) дату и время проведения проверки достоверности изображения.
- Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.
- Получение эталонного изображения лица, аутентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической аутентификации.
- Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица аутентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической аутентификации.
- По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:
1) изображение лица аутентифицируемого, полученное по результатам проверки достоверности изображения;
2) аутентификационные данные;
3) результат сличения изображений;
4) реквизиты заказчика биометрической аутентификации;
5) дату и время проведения сличения изображений.
- Электронный документ по результатам сличения биометрических данных:
1) удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего сличение изображений;
2) сохраняется в базе данных верифицированных изображений провайдера биометрической аутентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
3) хранится у заказчика биометрической аутентификации.
- С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической аутентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической аутентификации или заказчика биометрической аутентификации.
- На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, определенных в соответствии с пунктом 4 настоящих Правил, заказчиком биометрической аутентификации принимается решение об успешности биометрической аутентификации.
- Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической аутентификации осуществляется заказчиком биометрической аутентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая аутентификация.