Правила определяют порядок проведения биометрической аутентификации финансовыми и платежными организациями, включая случаи обязательного использования или наполнения биометрическими данными национальной системы биометрической аутентификации (НСБА), полученными центром обмена идентификационными данными Нацбанка (ЦОИД).
Принципы использования и защиты биометрических данных:
- сбор и хранение биометрических данных проводится в соответствии с главой 2 Правил;
- биометрические данные защищаются от несанкционированного доступа и распространения;
- документирование процессов сбора, хранения и уничтожения биометрических данных.
Заказчик биометрической аутентификации утверждает описание процесса биометрической аутентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической аутентификации, выраженные количественными показателями.
Биометрическая аутентификация проводится по изображению лица аутентифицируемого.
Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:
- получение достоверного текущего изображения лица аутентифицируемого;
- получение эталонного изображения лица аутентифицируемого из доступных источников и (или) базы биометрических данных НСБА или изображения лица аутентифицируемого из базы данных верифицированных изображений провайдера биометрической аутентификации;
- сличение текущего и эталонного изображения лица аутентифицируемого или текущего и верифицированного изображения лица аутентифицируемого.
Получение достоверного текущего изображения лица аутентифицируемого, а также ИИН осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.
При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов или команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.
Выявленное несоответствие любому из направленных сигналов или команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.
По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий:
- результат проверки достоверности текущего изображения лица;
- ИИН;
- перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений с указанием использованных сигналов и (или) команд;
- реквизиты заказчика биометрической аутентификации (наименование, БИН, адрес);
- дату и время проведения проверки достоверности изображения;
- реквизиты провайдера биометрической аутентификации (наименование, БИН, адрес).
Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.
Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности, с эталонным изображением лица или верифицированным изображением. Алгоритм формирования результата сличения определяется провайдером биометрической аутентификации.
Постановление вводится в действие с 12 июля 2026 года, за исключением ряда пунктов.