Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 56 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 19 тамызда № 34950 болып тіркелді.

      ЗҚАИ-ның ескертпесі!
      Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз

      "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңының 34-бабының 5-5-тармағына және "Микроқаржылық қызмет туралы" Қазақстан Республикасы Заңының 3-бабының 3-5-тармағына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) бекітілсін.

      2. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      4. Осы қаулы 2025 жылғы 1 қаңтардан бастап қолданысқа енгізілетін Қағидалардың 7, 9, 10, 13 және 14-тармақтарын қоспағанда, алғашқы ресми жарияланған күнінен кейін күнтізбелік алпыс күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2024 жылғы 16 тамыздағы № 56 қаулысы қосымша

Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Банктердің, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңының 34-бабының 5-5-тармағының және "Микроқаржылық қызмет туралы" Қазақстан Республикасы Заңының 3-бабының 3-5-тармағының талаптарына сәйкес әзірленді.

      Осы Қағидалар банктер, банк қызметтерінің жекелеген түрлерін жүзеге асыратын ұйымдар және микроқаржы ұйымдары өздерінің аппараттық құрылғылары арқылы өткізетін биометриялық идентификаттау процестеріне қолданылмайды.

      2. Осы Қағидаларда мынадай терминдер мен анықтамалар пайдаланылады:

      1) биометриялық идентификаттау провайдері – идентификаттау өткізілетін адамның ағымдағы шынайы бейнесін алу және (немесе) идентификаттау өткізілетін адам бейнесінің ағымдағы және эталондық үлгісін салыстырып тексеруді жүзеге асыратын ұйым;

      2) идентификаттау өткізілетін адам – оған қатысты биометриялық идентификаттау процесі өткізілетін жеке тұлға;

      3) биометриялық идентификаттауға тапсырыс беруші – оған қатысты биометриялық идентификаттау процесі жүзеге асырылатын ұйым;

      4) биометриялық идентификаттау провайдерінің бірдейлендірілген бейнелерінің дерекқоры – биометриялық идентификаттау провайдері құратын және сақтайтын, бейнелердің мемлекеттік дерекқорынан алынған эталондық үлгімен сәтті салыстырып тексеруден өткен немесе биометриялық идентификаттау провайдерінің аппараттық құрылғылары арқылы алынған идентификаттау өткізілетін адамдардың бейнелерін қамтитын дерекқор;

      5) идентификаттау деректері – оған қатысты биометриялық идентификаттау процесі жүргізілетін жеке тұлғаның жеке сәйкестендіру нөмірі;

      6) биометриялық деректерді тексеру жүйесі – бейненің шынайылығын тексеру рәсімін жүзеге асыратын автоматтандырылған жүйе;

      7) биометриялық деректерді салыстыру жүйесі – бейнелерді салыстырып тексеруді жүзеге асыратын автоматтандырылған жүйе;

      8) бейнелердің мемлекеттік дерекқоры – жеке тұлғалардың идентификаттау деректерін, сондай-ақ оларға сәйкес келетін адамның эталондық бейнелерін қамтитын мемлекетке тиесілі дерекқор.

      3. Биометриялық деректерді пайдалану және қорғау қағидаттары:

      1) биометриялық деректерді жинау, сақтау және жою осы Қағидалардың 2-тарауына сәйкес жүргізіледі;

      2) биометриялық деректер рұқсатсыз таралудан қорғалады;

      3) биометриялық деректерді жинау, сақтау және жою процестерін құжаттау.

      4. Биометриялық идентификаттауға Тапсырыс беруші биометриялық идентификаттау процесінің сипаттамасын, биометриялық деректерді тексеру және биометриялық деректерді салыстыру жүйелері туралы мәліметтерді, сондай-ақ биометриялық идентификаттау сәтті өткені туралы шешім қабылдау өлшемшарттарын бекітеді.

      5. Биометриялық идентификаттау идентификаттау өткізілетін адамның бет бейнесі бойынша жүргізіледі.

2-тарау. Идентификаттау өткізілетін адамның бет бейнесі бойынша биометриялық идентификаттау тәртібі

      6. Идентификаттау өткізілетін адамның бет бейнесі бойынша биометриялық идентификаттау процесі келесі кезеңдерден тұрады:

      1) идентификаттау өткізілетін адамның ағымдағы шынайы бейнесін алу;

      2) идентификаттау өткізілетін адамның идентификаттау деректерін алу (бұдан әрі – идентификаттау деректері);

      3) идентификаттау өткізілетін адамның эталондық бейнесін алу;

      4) идентификаттау өткізілетін адамның ағымдағы және эталондық бейнесін салыстырып тексеру (бұдан әрі – бейнелерді салыстыру);

      ЗҚАИ-ның ескертпесі!
      7-тармақ 01.01.2025 бастап қолданысқа енгізіледі – осы бұйрықтың 4-т. сәйкес.

      7. Идентификаттау өткізілетін адамның ағымдағы бейнесін және идентификаттау деректерін алуды биометриялық идентификаттау провайдері мобильдік құрылғыдағы немесе компьютердегі бағдарламалық қамтылым арқылы жүзеге асырады. Бұл ретте бағдарламалық қамтылымда кем дегенде мынадай қорғау шаралары іске асырылады: өзінің тұтастығын бақылау, эмуляцияланатын ортада іске қосуды тексеру, құрылғының немесе компьютердің кіріктірілген камерасын ауыстырудан қорғау.

      8. Идентификаттау өткізілетін адамның ағымдағы бейнесін ауыстыруды болдырмау мақсатында идентификаттау өткізілетін адамның ағымдағы шынайы бейнесін алған кезде бейненің дұрыстығын тексеру рәсімі жүзеге асырылады, онда идентификаттау өткізілетін адамға кадрда визуалды өзгерістер жасауға бағытталған кемінде үш сигналды және (немесе) командаларды жіберу, одан кейін онда бағытталған сигналдар мен командаларға сәйкессіздіктерді анықтау үшін бейне ағынын талдау қамтылады.

      Бағытталған сигналдардың және (немесе) командалардың кез келгеніне сәйкес келмеуі бейненің дұрыстығын тексеру рәсімінің қайталануына әкеледі. Үш рет сәтсіз қайталау бейненің шынайылығын тексерудің теріс нәтижесін білдіреді.

      ЗҚАИ-ның ескертпесі!
      9-тармақ 01.01.2025 бастап қолданысқа енгізіледі – осы бұйрықтың 4-т. сәйкес.

      9. Бейненің шынайылығын тексеру нәтижелері бойынша тексерудің сәтті болуына қарамастан, биометриялық деректерді тексеру жүйесінде кем дегенде мыналарды қамтитын электрондық құжат жасалады:

      1) бейненің шынайылығын тексеру нәтижесі;

      2) идентификаттау деректері;

      3) жүйе таңдаған сигналдардың және (немесе) командалардың тізбесі, сигналдарға және (немесе) бейне командаларына сәйкес келетін жиынтық;

      4) тапсырыс берушінің биометриялық идентификаттауға деректемелері;

      5) бейненің шынайылығына тексеру жүргізу күні мен уақыты.

      ЗҚАИ-ның ескертпесі!
      10-тармақ 01.01.2025 бастап қолданысқа енгізіледі – осы бұйрықтың 4-т. сәйкес.

      10. Кескіннің дұрыстығын тексеру нәтижелері бойынша электрондық құжат тексеруді жүзеге асырған биометриялық идентификаттау провайдерінің электрондық цифрлық қолтаңбасымен куәландырылады және биометриялық идентификаттауға тапсырыс берушіде сақталады.

      11. Биометриялық деректерді салыстыру жүйесімен идентификаттау өткізілген адамның эталондық бейнесін алу бейнелердің мемлекеттік дерекқорынан немесе биометриялық идентификаттау провайдерінің бірдейлендірілген бейнелер дерекқорынан жүзеге асырылады.

      12. Биометриялық деректерді салыстыру жүйесінің идентификаттау өткізілетін адамның ағымдағы бейнесін идентификаттау өткізілетін адамның эталондық бейнесімен салыстыру арқылы жүзеге асырылады. Бейнелерді салыстыру нәтижесін қалыптастыру тәртібін биометриялық сәйкестендіру провайдері анықтайды.

      ЗҚАИ-ның ескертпесі!
      13-тармақ 01.01.2025 бастап қолданысқа енгізіледі – осы бұйрықтың 4-т. сәйкес.

      13. Бейнелерді салыстыру нәтижелері бойынша биометриялық деректерді салыстыру жүйесінде тексерудің сәтті өткеніне қарамастан кем дегенде мыналарды қамтитын электрондық құжат жасалады:

      1) идентификаттау өткізілетін адамның ағымдағы бейнесі;

      2) идентификаттау деректері;

      3) бейнелерді салыстыру нәтижесі;

      4) биометриялық идентификаттауға тапсырыс берушінің деректемелері;

      5) бейнелерді салыстыру жүргізу күні мен уақыты.

      ЗҚАИ-ның ескертпесі!
      14-тармақ 01.01.2025 бастап қолданысқа енгізіледі – осы бұйрықтың 4-т. сәйкес.

      14. Биометриялық деректерді салыстыру нәтижелері бойынша электрондық құжат:

      1) бейнелерді салыстыруды жүзеге асырған биометриялық идентификаттау провайдерінің электрондық цифрлық қолтаңбасымен расталады;

      2) осындай дерекқор болған кезде бейнелерді салыстыруды жүзеге асырған биометриялық идентификаттау провайдерінің бірдейлендірілген бейнелерінің дерекқорында сақталады;

      3) биометриялық идентификаттауға тапсырыс берушіде сақталады.

      15. Конфиденциалдылықты қамтамасыз ету, сондай-ақ берілетін деректердің ауыстырылуын болдырмау мақсатында биометриялық идентификаттау провайдерінің немесе биометриялық идентификаттауға тапсырыс берушінің ақпараттық-коммуникациялық инфрақұрылымынан тыс биометриялық идентификаттау процесі шеңберінде пайдаланылатын байланыс арналарын шифрлау қамтамасыз етіледі.

      16. Бейненің шынайылығын тексеру нәтижелері, бейнелерді салыстыру нәтижелері, сондай-ақ осы Қағидалардың 4-тармағына айқындалған өлшемшарттар негізінде биометриялық идентификаттауға Тапсырыс беруші биометриялық идентификаттаудың сәтті өткені туралы шешім қабылдайды.

      17. Бейненің шынайылығын тексеру нәтижелерін, бейнелерді салыстыру нәтижелерін және биометриялық идентификаттаудың сәтті өткені туралы қорытынды шешімді сақтауды биометриялық идентификаттауға тапсырыс беруші оның шеңберінде биометриялық идентификаттау жүзеге асырылған қаржылық қызметке қойылатын құжаттарды сақтауға қойылатын талаптарға сәйкес жүзеге асырады.

Об утверждении Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56. Зарегистрировано в Министерстве юстиции Республики Казахстан 19 августа 2024 года № 34950.

      Примечание ИЗПИ!
      Порядок введения в действие см. п. 4.

      В соответствии с пунктом 5-5 статьи 34 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пунктом 3-5 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности", Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями (далее – Правила).

      2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      4. Настоящее постановление вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования, за исключением пунктов 7, 9, 10, 13 и 14 Правил, которые вводятся в действие с 1 января 2025 года.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

Приложение к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56

Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями

Глава 1. Общие положения

      1. Настоящие Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями (далее – Правила) разработаны в соответствии с требованиями пунктом 5-5 статьи 34 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пункта 3-5 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности".

      Настоящие Правила не распространяются на процессы биометрической идентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями посредством собственных аппаратных устройств.

      2. В настоящих Правилах используются следующие термины и определения:

      1) провайдер биометрической идентификации – организация, осуществляющая получение достоверного текущего изображения лица идентифицируемого и (или) сличение текущего и эталонного образца изображения лица идентифицируемого;

      2) идентифицируемый – физическое лицо, в отношении которого проводится процесс биометрической идентификации;

      3) заказчик биометрической идентификации – организация, в интересах которой осуществляется процесс биометрической идентификации;

      4) база данных верифицированных изображений провайдера биометрической идентификации– база данных, создаваемая и хранимая провайдером биометрической идентификации, содержащая изображения лиц идентифицируемых, прошедшие успешное сличение с эталонным образцом, полученным из государственной базы данных изображений, или полученные посредством аппаратных устройств провайдера биометрической идентификации;

      5) идентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической идентификации;

      6) система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки достоверности изображения;

      7) система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;

      8) государственная база данных изображений – база данных, принадлежащая государству, содержащая идентификационные данные физических лиц, а также соответствующие им эталонные изображения лица.

      3. Принципы использования и защиты биометрических данных:

      1) сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 настоящих Правил;

      2) биометрические данные защищаются от несанкционированного распространения;

      3) документирование процессов сбора, хранения и уничтожения биометрических данных.

      4. Заказчик биометрической идентификации утверждает описание процесса биометрической идентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической идентификации.

      5. Биометрическая идентификация проводится по изображению лица идентифицируемого.

Глава 2. Порядок биометрической идентификации по изображению лица идентифицируемого

      6. Процесс биометрической идентификации по изображению лица идентифицируемого включает в себя следующие этапы:

      1) получение достоверного текущего изображения лица идентифицируемого;

      2) получение идентификационных данных идентифицируемого (далее – идентификационные данные);

      3) получение эталонного изображения лица идентифицируемого;

      4) сличение текущего и эталонного изображения лица идентифицируемого (далее – сличение изображений).

      Примечание ИЗПИ!
      Пункт 7 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.

      7. Получение текущего изображения лица идентифицируемого и идентификационных данных осуществляется провайдером биометрической идентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.

      8. При получении достоверного текущего изображения лица идентифицируемого, с целью предотвращения подмены текущего изображения лица идентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление идентифицируемому не менее трех сигналов и (или) команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.

      Выявленное несоответствие любому из направленных сигналов и (или) команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.

      Примечание ИЗПИ!
      Пункт 9 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.

      9. По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:

      1) результат проверки достоверности изображения;

      2) идентификационные данные;

      3) перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;

      4) реквизиты заказчика биометрической идентификации;

      5) дату и время проведения проверки достоверности изображения.

      Примечание ИЗПИ!
      Пункт 10 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.

      10. Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего проверку, и хранится у заказчика биометрической идентификации.

      11. Получение эталонного изображения лица, идентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической идентификации.

      12. Сличение биометрических данных осуществляется путем сравнения текущего изображения лица идентифицируемого с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.

      Примечание ИЗПИ!
      Пункт 13 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.

      13. По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:

      1) текущее изображение лица идентифицируемого;

      2) идентификационные данные;

      3) результат сличения изображений;

      4) реквизиты заказчика биометрической идентификации;

      5) дату и время проведения сличения изображений.

      Примечание ИЗПИ!
      Пункт 14 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.

      14. Электронный документ по результатам сличения биометрических данных:

      1) удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего сличение изображений;

      2) сохраняется в базе данных верифицированных изображений провайдера биометрической идентификации, осуществлявшего сличение изображений, при наличии такой базы данных;

      3) хранится у заказчика биометрической идентификации.

      15. С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической идентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической идентификации или заказчика биометрической идентификации.

      16. На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, определенных в соответствии с пунктом 4 настоящих Правил, заказчиком биометрической идентификации принимается решение об успешности биометрической идентификации.

      17. Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической идентификации осуществляется заказчиком биометрической идентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая идентификация.