Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:
- получение достоверного текущего изображения лица аутентифицируемого;
- получение идентификационных данных аутентифицируемого;
- получение эталонного изображения лица идентифицируемого;
- сличение текущего и эталонного изображения лица аутентифицируемого.
Получение текущего изображения лица аутентифицируемого и идентификационных данных осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере.
При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов или команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.
Выявленное несоответствие любому из направленных сигналов или команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.
По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:
- результат проверки достоверности изображения;
- идентификационные данные;
- перечень выбранных системой сигналов или команд, набор соответствующих сигналам и (или) командам изображений;
- реквизиты заказчика биометрической аутентификации;
- дату и время проведения проверки достоверности изображения.
Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.
Получение эталонного изображения лица, аутентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической аутентификации.
Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица аутентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической аутентификации.
По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:
- изображение лица аутентифицируемого, полученное по результатам проверки достоверности изображения;
- идентификационные данные;
- результат сличения изображений;
- реквизиты заказчика биометрической аутентификации;
- дату и время проведения сличения изображений.
Электронный документ по результатам сличения биометрических данных:
- удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего сличение изображений;
- сохраняется в базе данных верифицированных изображений провайдера биометрической аутентификации, осуществлявшего сличение изображений, при наличии такой базы данных;
- хранится у заказчика биометрической аутентификации.
Для обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической аутентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической аутентификации или заказчика биометрической аутентификации.
На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, заказчиком биометрической аутентификации принимается решение об успешности биометрической аутентификации.
Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической аутентификации осуществляется заказчиком биометрической аутентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая аутентификация.
Приказ вводится в действие с 20 апреля 2026 года.
При этом ранее действовавшие Правила проведения биометрической идентификации банками утрачивают силу.