In diesem Jahr führte Rostelecom das Unified Biometric System ein - ein Projekt zur Identifizierung von Bankkunden für den Fernzugriff auf Bankdienstleistungen. Dank der biometrischen Überprüfung können Benutzer Dienste aus der Ferne nutzen, für die zuvor eine obligatorische physische Präsenz erforderlich war, um ihre Identität zu überprüfen.
Biometrische Daten für das System werden in Bankfilialen gemäß strengen Vorschriften erfasst. In diesem Beitrag werden wir beschreiben, wie wir die Sammlung biometrischer Daten bei der Promsvyazbank implementiert haben, und versuchen, die mit diesem Prozess verbundenen Mythen zu zerstreuen.
Während andere Branchen auf verschiedenen Ebenen mit der Implementierung biometrischer Daten befasst waren, konnte der Bankensektor nur mutig damit experimentieren. Die Gesetzgebung schränkt Banken in Bezug auf die Identifizierung einer einzelnen Person und das Verfahren für die Erbringung von Dienstleistungen stark ein. In Übersee begannen unterdessen Bankfälle großer Anbieter biometrischer Lösungen. Nuance hat zum Beispiel Dutzende von Abgüssen von Stimmbiometrie gesammelt und erfolgreich verwendet.
Das Eis brach, als das Bundesprojekt Digital Economy in Russland gestartet wurde. Am 31. Dezember 2017 unterzeichnete der Präsident 482-FZ „Über die Änderung bestimmter Gesetzgebungsakte der Russischen Föderation“. Die erste Phase des Digital Economy-Projekts war die Schaffung einer nationalen biometrischen Plattform - des Unified Biometric System - der staatlichen Basis für biometrische Vorlagen für Bürger der Russischen Föderation. Gleichzeitig wurde zur Entwicklung der Wirtschaft das Projekt „Remote Identification of Bank Clients“ logisch gestartet.
Wir haben uns dem Projekt von Anfang an auf der Ebene der Arbeitsgruppe des Kommunikationsministeriums und der Zentralbank der Russischen Föderation angeschlossen. So hatten wir die Zeit, nicht nur den Prozess selbst zu verstehen, sondern auch über unsere Maßnahmen und unseren Arbeitsumfang nachzudenken, um den Prozess gut umzusetzen. Darüber hinaus war es mit seinem Wissen möglich, das Konzept des Projekts sowie die Bildung von Anforderungen zu beeinflussen, die dieser Prozess in Zukunft allen Banken präsentieren wird.
Wie sammeln wir biometrische Daten?
Nachdem wir die Dokumentation und Kommentare der Partner von Rostelecom, dem Kommunikationsministerium und der Zentralbank ausgewertet hatten, teilten wir den Dienst in vier Hauptteile auf.
ABS PSB-Retail ist ein Bankensystem zur Betreuung von Einzelpersonen, in dem auch persönliche (nicht biometrische) Kundendaten gespeichert werden. Für dieses Projekt haben wir es fertiggestellt und in interne Bankdienstleistungen und ein Portal zur Registrierung biometrischer Daten integriert
Das Registrierungsportal ist das Hauptelement des Systems, einschließlich der Workstation (Workstation) des Service-Center-Betreibers. Wir werden Ihnen mehr über ihn erzählen.
Der Konnektor zwischen dem Portal und SMEV (System der elektronischen Interaktion zwischen Agenturen) ist ein Softwareprodukt, das Anforderungen generiert und an SMEV zur Verarbeitung durch staatliche Dienste von ESIA und EBS sendet. Dieser Teil wurde für uns von einem externen Anbieter erstellt, der bereits Transportlösungen für die Bank entwickelte, einschließlich solcher im Zusammenhang mit der Interaktion mit KMU.
ESIA und - staatliche Dienste, Unified Identification and Authentication System, Unified Biometric System. Erstellt und gepflegt von Rostelecom. Ihnen zufolge haben wir alle Unterlagen und Beschreibungen erhalten, die Bank interagiert mit ihnen über SMEV.
AWP der Registrierung biometrischer Daten
Das Datenregistrierungsportal wurde bankweit vollständig ausgebaut. Einerseits sollte es eindeutig mit allen oben aufgeführten Teilen des Systems und der Hardware zum Sammeln von Daten interagieren. Zum anderen, um ein angemessenes Sicherheitsniveau bei der Verarbeitung personenbezogener und biometrischer personenbezogener Daten zu gewährleisten und die von Rostelecom bereitgestellte Qualitätskontrollbibliothek zur Überprüfung der Proben zu verwenden.
Wir haben uns entschieden, keine Thick Clients zu verwenden, sondern eine Weblösung für die einfache Bereitstellung am Arbeitsplatz, die Zentralisierung der Datenspeicherung und -verarbeitung sowie die Möglichkeit einer flexiblen Verfeinerung der Lösung zu erstellen.
Unser Produkt heißt ARM PAK “Registrar. PSB-BIO “- Automatisierter Arbeitsplatz des Software- und Hardwarekomplexes„ Registrar. BIO “für die Promsvyazbank. Mit der Hardware des Komplexes war alles klar - es war notwendig, die Anforderungen an die Ausrüstung zu erfüllen (sie sind in diesem
Beitrag aufgeführt ). Und wir haben den Software-Teil selbst entwickelt. Wir haben mit der Entwicklung der Funktionalität begonnen - die Anwendung sollte in der Lage sein:
- Daten von einer Drittanbieteranwendung erhalten (in unserem Fall ist es die ABS Bank);
- Bereitstellung einer praktischen Umgebung für die Aufzeichnung biometrischer Daten - mit Tipps für den Bediener;
- Automatisierung des gesamten Prozesses zur Gewinnung biometrischer Proben;
- Senden von Daten, um eine Anfrage an den Konnektor zu bilden, und Empfangen einer Antwort über einen Bankdatenbus;
- Berücksichtigung der Sicherheitsanforderungen bei der Arbeit mit personenbezogenen und biometrischen personenbezogenen Daten;
- Protokollaktionen des Systems, seiner Benutzer und des Administrators;
- Berücksichtigen Sie die spezifischen Anforderungen an Hardware und Software.
Der Registrierungsprozess hat seinen Ursprung im ABS der Bank, für das wir eine API auf der Rückseite geschrieben haben, um Daten von Systemen von Drittanbietern zu erhalten. Nachdem das ABS einen Auftrag zur Kundenregistrierung generiert hat, wird die Portal-URL mit der Übertragung der erforderlichen Daten aufgerufen.
Jetzt beginnt der AWP-Betreiber mit dem Registrierungsprozess. Er sieht im Portal eine Kundenkarte mit den Daten, die für die Arbeit mit ESIA und EBS verwendet werden. Hier können Sie auswählen, welche Kundenadresse bei der Registrierung bei ESIA verwendet werden soll (Registrierung oder Wohnort) und Informationen für die Passwortübermittlung (Telefon oder E-Mail) angeben.
Als Nächstes wird automatisch eine Anforderung zur Suche nach einem Kundenkonto in ESIA erstellt. Laut den Suchergebnissen gibt der Dienst die Möglichkeit zur Verwendung von Flugzeugen ESIA aus. BC - Art der Information, ein Protokoll für die Übertragung von Informationen einer bestimmten Art zwischen den Informationssystemen des Lieferanten und des Verbrauchers. Wenn mehrere Konten gefunden werden und keines den bestätigten Status hat, wählt der Bediener aus, mit welchem er arbeiten möchte.
Wenn das Konto mehrere Arten von Informationen enthält, wählt der Betreiber eine davon unter der Kontrolle eines Mitarbeiters aus, der die Befugnis des für die Verarbeitung Verantwortlichen der Zentrale besitzt. Wir sind also sicher, dass wir keine falschen Daten senden und schließen die Möglichkeit eines Betrugs in dieser Phase aus.
Nach der Genehmigung des zu sendenden Datensatzes sendet der Betreiber eine Anfrage an die ESIA nach dem ausgewählten Informationstyp. Als Antwort bestätigt der CMEE das Senden der Anforderung, und der Betreiber erhält die OID des Kundenkontos in ESIA.
Nach Erhalt der Zustimmung des Kunden zur Registrierung bei der EBS beginnen wir nun mit der Datenerfassung.
Zunächst stellt der Bediener die richtige Kameraposition relativ zum Client ein. Workstation hilft ihm und zeigt eine vorläufige Anzeige des Rahmens mit Markierungen der Position des Gesichts (Fadenkreuz), des Kopfwinkels. Es werden auch numerische Informationen angezeigt: Auflösung, Bildgröße, Kopfwinkel und Abstand zwischen den Augen. Dazu gibt es Tipps für den Bediener.
Nach dem Einstellen der Kameraposition drückt der Bediener die Starttaste für die Aufnahme. Der Dienst nimmt Bilder auf, überprüft die Einhaltung der Anforderungen von Rostelecom und zeigt dem Bediener an, ob die Prüfung bestanden wurde oder nicht, was der Kunde tun muss (Kinn senken, Kopf drehen usw.).
Nach Abschluss dieser Phase nimmt die Workstation automatisch Sprachproben auf. Der Client wiederholt dreimal eine zufällig generierte Folge von Ziffern von 0 bis 9 in drei Standardsequenzen. Nach jedem Eintrag wird er von der Qualitätskontrollbibliothek überprüft. Diese Bibliothek wurde übrigens von Mitarbeitern der Promsvyazbank entwickelt.
Dann werden Anfang und Ende in die Datensätze eingetragen, zu einem zusammengefasst und an die EBS gesendet. Nach dem Bestehen der Kontrolle an der Steuerung der Zentrale werden biometrische Proben zur Bildung und Unterzeichnung des Pakets an den Konnektor übertragen, an SMEV und weiter an die EBS übertragen.
Nach Erhalt einer Antwort vom EBS wird die Registrierungsabschlusskarte auf dem Bedienerbildschirm angezeigt. Und der Kunde erhält nach der Registrierung eine Nachricht von ESIA.
So werden Daten in der Promsvyazbank für das Unified Biometric System registriert.
Häufige Missverständnisse
Wir wissen, dass das neue System bei manchen Menschen Fragen aufwirft. Lassen Sie uns einige beliebte kommentieren:
"Banken werden meine Daten besitzen und betrügen." Nein, Banken erhalten einfach keinen Zugang zu biometrischen Daten von Kunden und Einzelpersonen. Banken registrieren eine Person (Kunde in ESIA), senden ein Foto und eine Sprachaufnahme von guter Qualität an die EBU. Betrug ist nicht möglich ohne biometrische Vorlagen des EBS, die nicht seitens der Banken erstellt werden. Banken nehmen bei ESIA nicht am Identifizierungsprozess teil, sondern erhalten nur den endgültigen Status dieser Identifizierung.
"Meine Daten werden von Außenstehenden verwendet." Wir hören oft Bemerkungen wie "Ein anderer nimmt einen Kredit für mich auf", "Eine Frau mit meinem Foto hat Zugang zu meinen Konten". Nein. Die Biometrie-Technologie ermöglicht die Überprüfung mithilfe der Liveness-Methode - das heißt, es wird überprüft, ob sich eine lebende Person am anderen Ende befindet. Zu diesem Zweck wird die Reihenfolge, in der Phrasen oder Zahlen ausgesprochen werden, unvorhersehbar geändert, ebenso wie die Bewegung einer Person, Mimik und die Bewegung der Lippen während der Gesichtsüberprüfung. Solche multimodalen biometrischen Merkmale erhöhen die Zuverlässigkeit des Verfahrens.
"Wir werden verfolgt und daher ist jeder verpflichtet, Daten einzureichen." Nein, die Lieferung von Biometrie ist eine völlig freiwillige Angelegenheit. Natürlich werden diejenigen, die Konten bei ESIA und EBS haben, im Laufe der Zeit interessantere Angebote und Dienstleistungen erhalten und dies viel schneller. Die Entscheidung über die Lieferung von Biometrie bleibt jedoch immer beim Kunden.