Примечание ИЗПИ!
Порядок введения в действие см. п. 4.
В соответствии с пунктом 5-5 статьи 34 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пунктом 3-5 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности", Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями (далее – Правила).
2. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
4. Настоящее постановление вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования, за исключением пунктов 7, 9, 10, 13 и 14 Правил, которые вводятся в действие с 1 января 2025 года.
|
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка |
М. Абылкасымова |
| Приложение к постановлению Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56 |
Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями
Глава 1. Общие положения
1. Настоящие Правила проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями (далее – Правила) разработаны в соответствии с требованиями пунктом 5-5 статьи 34 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пункта 3-5 статьи 3 Закона Республики Казахстан "О микрофинансовой деятельности".
Настоящие Правила не распространяются на процессы биометрической идентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских услуг, и микрофинансовыми организациями посредством собственных аппаратных устройств.
2. В настоящих Правилах используются следующие термины и определения:
1) провайдер биометрической идентификации – организация, осуществляющая получение достоверного текущего изображения лица идентифицируемого и (или) сличение текущего и эталонного образца изображения лица идентифицируемого;
2) идентифицируемый – физическое лицо, в отношении которого проводится процесс биометрической идентификации;
3) заказчик биометрической идентификации – организация, в интересах которой осуществляется процесс биометрической идентификации;
4) база данных верифицированных изображений провайдера биометрической идентификации– база данных, создаваемая и хранимая провайдером биометрической идентификации, содержащая изображения лиц идентифицируемых, прошедшие успешное сличение с эталонным образцом, полученным из государственной базы данных изображений, или полученные посредством аппаратных устройств провайдера биометрической идентификации;
5) идентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической идентификации;
6) система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки достоверности изображения;
7) система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;
8) государственная база данных изображений – база данных, принадлежащая государству, содержащая идентификационные данные физических лиц, а также соответствующие им эталонные изображения лица.
3. Принципы использования и защиты биометрических данных:
1) сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 настоящих Правил;
2) биометрические данные защищаются от несанкционированного распространения;
3) документирование процессов сбора, хранения и уничтожения биометрических данных.
4. Заказчик биометрической идентификации утверждает описание процесса биометрической идентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической идентификации.
5. Биометрическая идентификация проводится по изображению лица идентифицируемого.
Глава 2. Порядок биометрической идентификации по изображению лица идентифицируемого
6. Процесс биометрической идентификации по изображению лица идентифицируемого включает в себя следующие этапы:
1) получение достоверного текущего изображения лица идентифицируемого;
2) получение идентификационных данных идентифицируемого (далее – идентификационные данные);
3) получение эталонного изображения лица идентифицируемого;
4) сличение текущего и эталонного изображения лица идентифицируемого (далее – сличение изображений).
Примечание ИЗПИ!Пункт 7 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.
7. Получение текущего изображения лица идентифицируемого и идентификационных данных осуществляется провайдером биометрической идентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
8. При получении достоверного текущего изображения лица идентифицируемого, с целью предотвращения подмены текущего изображения лица идентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление идентифицируемому не менее трех сигналов и (или) команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.
Выявленное несоответствие любому из направленных сигналов и (или) команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.
Примечание ИЗПИ!Пункт 9 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.
9. По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:
1) результат проверки достоверности изображения;
2) идентификационные данные;
3) перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;
4) реквизиты заказчика биометрической идентификации;
5) дату и время проведения проверки достоверности изображения.
Примечание ИЗПИ!Пункт 10 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.
10. Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего проверку, и хранится у заказчика биометрической идентификации.
11. Получение эталонного изображения лица, идентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической идентификации.
12. Сличение биометрических данных осуществляется путем сравнения текущего изображения лица идентифицируемого с эталонным изображением лица идентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической идентификации.
Примечание ИЗПИ!Пункт 13 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.
13. По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:
1) текущее изображение лица идентифицируемого;
2) идентификационные данные;
3) результат сличения изображений;
4) реквизиты заказчика биометрической идентификации;
5) дату и время проведения сличения изображений.
Примечание ИЗПИ!Пункт 14 вводится в действие с 01.01.2025 в соответствии с п. 4 настоящего приказа.
14. Электронный документ по результатам сличения биометрических данных:
1) удостоверяется электронной цифровой подписью провайдера биометрической идентификации, осуществлявшего сличение изображений;
2) сохраняется в базе данных верифицированных изображений провайдера биометрической идентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
3) хранится у заказчика биометрической идентификации.
15. С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической идентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической идентификации или заказчика биометрической идентификации.
16. На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, определенных в соответствии с пунктом 4 настоящих Правил, заказчиком биометрической идентификации принимается решение об успешности биометрической идентификации.
17. Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической идентификации осуществляется заказчиком биометрической идентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая идентификация.
