СОВМЕСТНОЕ ПОСТАНОВЛЕНИЕ Об утверждении Правил проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка Республики Казахстан

СОВМЕСТНОЕ ПОСТАНОВЛЕНИЕ

Об утверждении Правил проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка Республики Казахстан

В соответствии с пунктом 6 статьи 48 Цифрового кодекса Республики Казахстан Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка и Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЮТ:

  1. Утвердить Правила проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка Республики Казахстан.
  2. Департаменту информационной и кибербезопасности Агентства Республики Казахстан по регулированию и развитию финансового рынка в установленном законодательством Республики Казахстан порядке обеспечить:
  • совместно с Юридическим департаментом Агентства Республики Казахстан по регулированию и развитию финансового рынка государственную регистрацию настоящего совместного постановления в Министерстве юстиции Республики Казахстан;
  • размещение настоящего совместного постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
  • в течение десяти рабочих дней после государственной регистрации настоящего совместного постановления представление в Юридический департамент Агентства Республики Казахстан по регулированию и развитию финансового рынка сведений об исполнении мероприятия, предусмотренного подпунктом 3) настоящего пункта.
  1. Контроль за исполнением настоящего совместного постановления возложить на курирующих заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка и заместителя Председателя Национального Банка Республики Казахстан.
  2. Настоящее постановление вводится в действие с 12 июля 2026 года.

 

Должность

 

 

ФИО

Должность

 

 

ФИО

 

 

Утверждены

постановлением Правления

Агентства по регулированию и развитию финансового рынка

Республики Казахстан

от «___» ________ 2026 года

 

Утверждены

постановлением Правления

Национального Банка

Республики Казахстан

от «___» ________ 2026 года

 

 

 

Правила проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка Республики Казахстан

  Глава 1. Общие положения

  1. Правила проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации, полученными центром обмена идентификационными данными Национального Банка Республики Казахстан (далее – Правила), разработаны в соответствии с пунктом 6 статьи 48 Цифрового кодекса Республики Казахстан (далее – Цифровой кодекс) и определяют порядок проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования и (или) наполнения биометрическими данными национальной системы биометрической аутентификации.
  2. В Правилах используются понятия, предусмотренные Цифровым кодексом, Законом Республики Казахстан «О банках и банковской деятельности в Республике Казахстан», Законом Республики Казахстан «О платежах и платежных системах» (далее – Закон о платежах), Законом Республики Казахстан «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций», а также следующие понятия:
  • провайдер биометрической аутентификации – организация, осуществляющая получение достоверного текущего изображения лица идентифицируемого и (или) сличение текущего и эталонного образца изображения лица идентифицируемого, в том числе Центр обмена идентификационными данными Национального Банка Республики Казахстан (далее – ЦОИД);
  • аутентифицируемый – физическое лицо и (или) физическое лицо, действующее от имени юридического лица, в отношении которого проводится процесс биометрической аутентификации;
  • заказчик биометрической аутентификации – финансовая или платежная организация, в интересах которой осуществляется процесс биометрической аутентификации;
  • доступные источники – государственная база данных, включающая эталонные данные физических и юридических лиц, а также их идентификационные данные и эталонные изображения физических лиц;
  • идентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической аутентификации;
  • база данных верифицированных изображений провайдера биометрической аутентификации – база данных, создаваемая и хранимая провайдером биометрической аутентификации, содержащая верифицированные изображения лиц аутентифицируемых, прошедшие успешное сличение с эталонным образцом из доступных источников и (или) из базы биометрических данных Национальной системы биометрической аутентификации (далее – НСБА) посредством ЦОИД, или полученные посредством аппаратных устройств провайдера биометрической аутентификации при личном присутствии аутентифицируемого;
  • эталонное изображение лица – биометрические данные на основе изображения лица аутентифицируемого, содержащиеся в базе данных доступных источников или в базе биометрических данных НСБА;
  • система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки достоверности изображения;
  • система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;
  • правила ЦОИД – внутренние правила национального центра по управлению национальной цифровой финансовой инфраструктурой, регламентирующие порядок предоставления услуг ЦОИД финансовым и платежным организациям для проведения процедур аутентификации;
  • лицо с инвалидностью – лицо, имеющее нарушение здоровья со стойким расстройством функций организма, обусловленное заболеваниями, увечьями (ранениями, травмами, контузиями), их последствиями, нарушениями, которое приводит к ограничению жизнедеятельности и необходимости его социальной защиты;
  • технология проверки достоверности изображения – совокупность программно-технических методов и алгоритмов, направленных на подтверждение присутствия живого физического лица при получении биометрических данных (изображения лица) путем анализа динамических, объемных, световых и иных характеристик изображения в режиме реального времени (Liveness Detection).
  1. Принципы использования и защиты биометрических данных:
  • сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 Правил;
  • биометрические данные защищаются от несанкционированного доступа и распространения;
  • документирование процессов сбора, хранения и уничтожения биометрических данных.
  1. Заказчик биометрической аутентификации утверждает описание процесса биометрической аутентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической аутентификации, выраженные количественными показателями.
  2. Биометрическая аутентификация проводится по изображению лица или на основе отпечатка ладони аутентифицируемого.

 

 

Глава 2. Порядок биометрической аутентификации по изображению лица аутентифицируемого

Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:

  • получение достоверного текущего изображения лица аутентифицируемого;
  • получение идентификационных данных аутентифицируемого;
  • получение эталонного изображения лица аутентифицируемого или изображения лица аутентифицируемого из базы данных верифицированных изображений провайдера биометрической аутентификации (далее – верифицированное изображение);
  • сличение текущего и эталонного изображения лица аутентифицируемого или текущего и верифицированного изображения лица аутентифицируемого (далее – сличение изображений).
  1. Получение достоверного текущего изображения лица аутентифицируемого и идентификационных данных осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
  2. При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов и (или) команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.

Выявленное несоответствие любому из направленных сигналов и (или) команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.

  1. По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:
  • результат проверки достоверности изображения;
  • идентификационные данные;
  • перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений с указанием использованных сигналов и (или) команд;
  • реквизиты заказчика биометрической аутентификации;
  • дату и время проведения проверки достоверности изображения;
  • реквизиты и наименование провайдера биометрической аутентификации.
  1. Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.
  2. Получение эталонного изображения лица аутентифицируемого и сличение текущего и эталонного изображения лица аутентифицируемого осуществляется исключительно посредством ЦОИД.
  3. Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности, с эталонным изображением лица или верифицированным изображением. Порядок формирования результата сличения определяется провайдером биометрической аутентификации.
  4. По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:
  • изображение лица аутентифицируемого, полученное по результатам проверки достоверности изображения;
  • идентификационные данные;
  • результат сличения изображений;
  • реквизиты заказчика биометрической аутентификации;
  • дату и время проведения сличения изображений;
  • реквизиты и наименование провайдера биометрической аутентификации.
  1. Электронный документ по результатам сличения биометрических данных:
  • удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего сличение изображений;
  • сохраняется в базе данных верифицированных изображений провайдера биометрической аутентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
  • хранится у заказчика биометрической аутентификации.
  1. С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической аутентификации каналов связи, выходящих за пределы цифровой инфраструктуры провайдера биометрической аутентификации или заказчика биометрической аутентификации.
  2. На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, определенных в соответствии с пунктом 4 Правил, заказчиком биометрической аутентификации принимается решение об успешности биометрической аутентификации.
  3. Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической аутентификации осуществляется заказчиком биометрической аутентификации в соответствии с требованиями Закона о платежах, а также требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая аутентификация, с обеспечением возможности извлечения и предоставления указанных результатов по запросу в виде электронного документа, пригодного для визуального восприятия без применения процедур преобразования данных (за исключением средств проверки электронной цифровой подписи) и содержащего сведения, необходимые для подтверждения подлинности и действительности электронной цифровой подписи.

Глава 3. Порядок проведения биометрической аутентификации на основе отпечатка ладони

  1. Процесс биометрической аутентификации на основе отпечатка ладони аутентифицируемого включает следующие этапы:
  • получение отпечатка ладони аутентифицируемого с использованием биометрического сканера;
  • получение идентификационных данных аутентифицируемого;
  • получение верифицированного отпечатка ладони аутентифицируемого из базы данных верифицированных отпечатков ладони провайдера биометрической аутентификации;
  • сличение полученного и верифицированного отпечатка ладони (далее – сличение отпечатка ладони).
  1. Сканирование отпечатка ладони для базы данных верифицированных отпечатков ладони провайдера биометрической аутентификации осуществляется исключительно с использованием биометрических сканеров, размещенных в помещении провайдера биометрической аутентификации, и находящихся под его организационным и техническим контролем при личном присутствии аутентифицируемого и с его согласия.
  2. Биометрический сканер, применяемый для получения отпечатка ладони, должен обеспечивать как минимум следующие меры защиты:
  • контроль целостности программного обеспечения и прошивки устройства;
  • защиту от несанкционированного вмешательства и изменения конфигурации оборудования;
  • идентификацию используемого устройства в системе провайдера биометрической аутентификации;
  • защиту каналов передачи данных между устройством и системой сличения биометрических данных.

Использование мобильных устройств аутентифицируемого для целей проведения биометрической аутентификации по отпечатку ладони не допускается.

  1. При получении отпечатка ладони осуществляется проверка достоверности, направленная на выявление попыток использования муляжей, слепков, изображений либо иных искусственно воспроизведенных объектов. Проверка достоверности включает анализ параметров объемности, тепловых, оптических или сосудистых характеристик.
  2. Выявление несоответствий установленным критериям достоверности приводит к повторному проведению процедуры получения отпечатка ладони. Три неуспешных попытки означают отрицательный результат проверки достоверности отпечатка ладони.
  3. По результатам проверки достоверности отпечатка ладони от ее успешности формируется электронный документ, содержащий как минимум:
  • результат проверки достоверности отпечатка ладони;
  • идентификационные данные;
  • сведения об используемом устройстве и его идентификатор;
  • реквизиты заказчика биометрической аутентификации;
  • дату и время проведения проверки;
  • реквизиты и наименование провайдера биометрической аутентификации.
  1. Электронный документ по результатам проверки достоверности удостоверяется электронной цифровой подписью провайдера биометрической аутентификации и хранится у заказчика биометрической аутентификации.
  2. Сличение биометрических параметров осуществляется путем сравнения отпечатка ладони, сформированного по результатам проверки достоверности, с верифицированным отпечатком ладони аутентифицируемого. Порядок формирования результата сличения определяется провайдером биометрической аутентификации.
  3. По результатам сличения биометрических параметров независимо от его успешности формируется электронный документ, содержащий как минимум:
  • идентификатор сформированного отпечатка ладони;
  • идентификационные данные;
  • результат сличения;
  • сведения об используемом устройстве;
  • реквизиты заказчика биометрической аутентификации;
  • дату и время проведения сличения;
  • реквизиты и наименование провайдера биометрической аутентификации.
  1. Электронный документ по результатам сличения отпечатков ладони:
  • удостоверяется электронной цифровой подписью провайдера биометрической аутентификации;
  • сохраняется в базе данных верифицированных отпечатков ладони финансовой или платежной организации.
  1. С целью обеспечения конфиденциальности, целостности и неизменности биометрических персональных данных обеспечивается шифрование каналов связи между биометрическим устройством, системой обработки и системой хранения данных, а также разграничение доступа к указанным данным.
  2. На основании результатов проверки достоверности отпечатка ладони, результатов сличения отпечатков ладони и критериев, установленных заказчиком биометрической аутентификации, принимается решение об успешности биометрической аутентификации.
  3. Хранение результатов проверки достоверности отпечатков ладони, результатов сличения и итогового решения об успешности биометрической аутентификации осуществляется финансовыми и платежными организациями в соответствии с требованиями Закона о платежах, а также требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая аутентификация, с обеспечением возможности извлечения и предоставления указанных результатов по запросу в виде электронного документа, пригодного для визуального восприятия без применения процедур преобразования данных (за исключением средств проверки электронной цифровой подписи) и содержащего сведения, необходимые для подтверждения подлинности и действительности электронной цифровой подписи.

 

 

Глава 4. Порядок проведения биометрической аутентификации

посредством ЦОИД

  1. Подключение финансовых и платежных организаций к ЦОИД и получение указанными организациями сведений о результатах биометрической аутентификации посредством ЦОИД осуществляется в соответствии с Правилами ЦОИД. Правила ЦОИД размещаются на официальном интернет-ресурсе национального центра по управлению национальной цифровой финансовой инфраструктурой.
  2. В случаях, предусмотренных пунктами 39, 44 и 45 Правил, финансовая и (или) платежная организация получает согласие аутентифицируемого на проведение биометрической аутентификации и согласие аутентифицируемого на сбор, обработку и представление, в том числе при необходимости третьим лицам, его персональных данных, подтвержденные посредством идентификационного средства.

Финансовая и (или) платежная организация проводит с аутентифицируемым с использованием имеющихся у аутентифицируемого устройств и (или) иных устройств организации сеанс видеоконференции либо использует технологию проверки достоверности изображения с применением ЦОИД или самостоятельно выбранных сторонних решений.

Содержательная часть сеанса видеоконференции (перечень контрольных вопросов при их наличии), а также перечень и объемы услуг, оказываемых финансовыми и (или) платежными организациями, устанавливаются финансовыми и (или) платежными организациями самостоятельно.

  1. Финансовая и (или) платежная организация передает в ЦОИД индивидуальный идентификационный номер аутентифицируемого либо бизнес-идентификационный номер юридического лица, от имени которого действует аутентифицируемый, и изображение аутентифицируемого, полученное из сеанса видеоконференции либо с помощью технологии проверки достоверности изображения в процессе биометрической аутентификации.
  2. В отношении аутентифицируемого, являющегося лицом с инвалидностью, финансовой и (или) платежной организацией обеспечивается оказание биометрической аутентификации путем проведения с аутентифицируемым сеанса видеоконференции либо по желанию аутентифицируемого с использованием технологии проверки достоверности изображения.
  3. ЦОИД посредством программного обеспечения определяет степень соответствия по биометрическим показателям изображения, полученного из сеанса видеоконференции либо при использовании технологии проверки достоверности изображения, с эталонным изображением лица аутентифицируемого из доступных источников и (или) из базы данных НСБА. Видеозаписи обращений аутентифицируемых хранятся в финансовой и (или) платежной организации.
  4. Допускается предоставление ЦОИД дополнительных сервисов финансовым и платежным организациям для проведения аутентификации, предусмотренных Правилами ЦОИД.
  5. При предоставлении услуг аутентифицируемым финансовые и платежные организации используют систему и (или) программно-технические средства, автоматизирующие процесс противодействия несанкционированным платежам и (или) переводам денег.

 

 

Глава 5. Случаи обязательного использования и (или) наполнения биометрическими данными НСБА, полученными ЦОИД

 

  1. Изображения лиц аутентифицируемых, переданные финансовыми и (или) платежными организациями в ЦОИД из сеанса видеоконференции либо с помощью технологии проверки достоверности изображения, используются ЦОИД для целей биометрической аутентификации и (или) наполнения базы данных НСБА.

Изображения лиц аутентифицируемых, полученные ЦОИД от финансовых и (или) платежных организаций, и прошедшие проверку с результатами соответствия не менее 95% достоверности и не менее 95% соответствия эталонному изображению лица, используются для наполнения базы данных НСБА.

  1. Банки, филиалы банков-нерезидентов Республики Казахстан и организации, осуществляющие отдельные виды банковских операций (далее – банки), при оказании электронных банковских услуг в целях идентификации личности аутентифицируемого используют услуги ЦОИД по предоставлению биометрической аутентификации при:
  • установлении деловых отношений с аутентифицируемым дистанционным способом путем открытия банковского счета;
  • создании банком, являющимся аккредитованным удостоверяющим центром Республики Казахстан, электронной цифровой подписи и выдаче сертификата электронной цифровой подписи аутентифицируемому, в случаях, предусмотренных частью второй настоящего пункта;
  • превышении суммы банковского займа размера, установленного нормативным правовым актом уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций;
  • первичной регистрации аутентифицируемого в мобильном приложении и (или) на интернет-ресурсе банка;
  • проведении банком периодических обновлений данных аутентифицируемого в соответствии с Законом Республики Казахстан «О противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения»;
  • в иных случаях, в соответствии с требованиями к Правилам внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан и Национального оператора почты, утвержденными уполномоченным органом по регулированию, контролю и надзору финансового рынка и финансовых организаций.

В случае, если аутентифицируемый ранее не был аутентифицирован при личном присутствии в банке или с применением биометрической аутентификации посредством ЦОИД, то банком создание электронной цифровой подписи аутентифицируемого и выдача сертификата электронной цифровой подписи осуществляется при прохождении аутентифицируемым биометрической аутентификации посредством ЦОИД.

  1. Банками передаются в ЦОИД согласия аутентифицируемого:
  • на сбор, обработку его персональных данных, в том числе биометрических данных;
  • на проведение биометрической аутентификации аутентифицируемого с использованием ЦОИД;
  • на создание ключей электронной цифровой подписи и выдачу сертификата электронной цифровой подписи, в том числе, полученное при личном присутствии аутентифицируемого в банке.
  1. ЦОИД осуществляет сбор и регистрацию согласий аутентифицируемого, предусмотренных пунктом 40 Правил, с возможностью их отзыва аутентифицируемым в соответствии с законодательством Республики Казахстан.
  2. Согласия аутентифицируемых, полученные посредством ЦОИД, а также результаты биометрической аутентификации ЦОИД подлежат хранению в ЦОИД не менее 5 (пяти) лет с момента их получения и обработки.
  3. Банки обеспечивают хранение информации о согласиях аутентифицируемого, используемых при оказании электронных банковских услуг, изображения аутентифицируемого с использованием технологии проверки достоверности изображения, записи сеанса видеоконференции с аутентифицируемым, а также результаты биометрической аутентификации аутентифицируемого, не менее 5 (пяти) лет со дня прекращения деловых отношений с аутентифицируемым.
  4. Микрофинансовыми организациями услуги ЦОИД по биометрической аутентификации аутентифицируемых используются при превышении размера суммы микрокредита, установленного нормативным правовым актом уполномоченного органа по регулированию, контролю и надзору финансового рынка и финансовых организаций.
  5. Платежными организациями, являющимися операторами систем электронных денег, обеспечивается биометрическая аутентификация владельцев электронных денег посредством ЦОИД в соответствии с требованиями статьи 42 Закона о платежах.
Дата публикации
10 апреля 2026