Cómo crear muestras para el Sistema biométrico unificado y por qué puede ser peligroso

Mark no quiere una hipoteca en Rusia

A partir del 30 de junio, las agencias gubernamentales, los bancos y otras organizaciones recibirán el derecho de recopilar datos biométricos de los ciudadanos y establecer su identidad. Al mismo tiempo, la Ley N ° 482-FZ establece los criterios que deben cumplir los bancos que abren y mantienen cuentas de clientes sin su presencia personal.

El sistema biométrico unificado de identificación personal se lanzará en Rusia el 1 de julio.

Para el proyecto a nivel estatal, se eligieron dos tipos de biometría: voz y rostro, y no por separado, sino juntos, ya que la bimodalidad le permite definir una "persona viva", en lugar de simular su biometría en un canal digital. En el futuro, es posible conectar otros datos biométricos, en particular, los patrones de iris y venas.

Para acceder a los datos de cada ciudadano en una única base de datos de identificación, los bancos deberán pagar 200 rublos. Además, la mitad de esta cantidad será recibida por el banco, que inicialmente participó en la eliminación de la biometría primaria, y otros 100 rublos. recibirán otros participantes en el sistema (el operador del sistema en sí, el portal de servicios públicos y los proveedores de soluciones tecnológicas). Teniendo en cuenta que millones de personas son clientes activos de los bancos, la cantidad es enorme.

En la etapa inicial de introducción del sistema, solo las operaciones simples, como las transferencias dentro de sus cuentas, estarán disponibles para los clientes, en el futuro será posible acordar préstamos e hipotecas con él.

En el futuro, planean extender el sistema a servicios públicos, educación, atención médica y otras áreas.

Los bancos tendrán dos roles de participación: el consumidor y el proveedor de datos biométricos.

Será suficiente para el consumidor concluir un acuerdo con el operador de EBS (Rostelecom) sobre el uso de la plataforma biométrica y garantizar la integración de sus soluciones de front-end utilizando la tecnología oAuth.

El proveedor de datos biométricos necesita implementar adicionalmente una estación de trabajo para la identificación primaria. Además de la integración con ESIA y EBS, esta estación de trabajo debe cumplir con los requisitos para las especificaciones técnicas de los equipos, las condiciones de iluminación y ruido en la sala, y también los requisitos para las plantillas de control biométrico creadas.

El Ministerio de Comunicaciones, a su vez, emitió un proyecto de orden "Tras la aprobación de la orden de procesamiento, incluida la recolección y el almacenamiento, de los parámetros de datos personales biométricos para identificación, el procedimiento para publicar y actualizar los datos personales biométricos en un solo sistema biométrico, así como los requisitos para las tecnologías de la información y los medios técnicos, diseñado para procesar datos personales biométricos con fines de identificación ".

Este procedimiento establece el procedimiento de procesamiento, incluida la recopilación y el almacenamiento, de parámetros de datos personales biométricos, la colocación y actualización de datos personales biométricos en un solo sistema biométrico para identificar a un ciudadano de la Federación de Rusia, y también define los requisitos para la tecnología de la información y los medios técnicos para procesar datos personales biométricos. para los fines especificados.

Por lo tanto, de acuerdo con el Procedimiento, el procesamiento de los parámetros de los datos personales biométricos se lleva a cabo después de la identificación de un ciudadano con su presencia personal de acuerdo con los requisitos aprobados de conformidad con la cláusula 2 de la parte 2 del artículo 14.1 de la Ley Federal del 27 de julio de 2006 No. 149- “Sobre información , tecnología de la información y protección de la información ", además de obtener, de conformidad con la Ley Federal del 27 de julio de 2006 No. 152-" Sobre datos personales ", el consentimiento para el procesamiento de datos personales y biométricos personales datos, en la forma aprobada por el Gobierno de la Federación de Rusia de conformidad con el párrafo 5 del Artículo 14.1 de la Ley Federal No. 149-FZ.

En caso de retiro por parte del sujeto de datos personales de conformidad con la Ley Federal No. 152-FZ de consentimiento para el procesamiento de datos personales, no se lleva a cabo el uso de sus datos personales biométricos con fines de identificación.

Seguridad de datos

Los datos personales se almacenarán en un circuito seguro y el sistema se someterá a certificación y certificación de acuerdo con los requisitos del FSB, dijo Ivan Berov, director de la oficina de Identidad Digital de Rostelecom.

La plataforma digital en sí está ubicada en la infraestructura protegida por la nube de Rostelecom, a la cual los bancos tendrán acceso a través de canales especiales de comunicación del Sistema de Interacción Electrónica Interagencial (SMEV).

Berov también agregó que los datos del usuario se transmitirán a través de canales de comunicación seguros utilizando algoritmos criptográficos domésticos. Para resolver este problema, Rostelecom está desarrollando una aplicación móvil especial con herramientas de protección de información criptográfica incorporadas.

¿Cuál es el peligro aquí?

Teóricamente, una base de datos biométrica aún puede ser robada, y para los clientes del banco es mucho peor que robar contraseñas o códigos de acceso. Las huellas digitales, la grabación de voz y las imágenes faciales se basan en la individualidad y singularidad que se nos da al nacer. Si los delincuentes toman posesión de dichos datos ciudadanos, ellos, por decirlo suavemente, estarán en problemas. Después de todo, si se puede cambiar la contraseña o el código PIN robado, entonces su cara o voz es imposible. Como resultado, el criminal, que posee datos biométricos además de los datos biográficos, esencialmente puede realizar cualquier operación en nombre de la persona.

Estimados lectores, escriban sus suposiciones sobre qué hacer en caso de fuga de sus datos biométricos en los comentarios.

Muestras biometricas

En el proceso de procesamiento de los parámetros de datos personales biométricos, se crean muestras biométricas de la imagen facial del sujeto (en lo sucesivo, imágenes BO de la cara) y muestras biométricas de datos de voz (en lo sucesivo, grabaciones de voz BO).

Requisitos de BO

La calidad de la imagen facial debe cumplir con los siguientes criterios:

• la presencia de una cara en la imagen;
• falta de objetos que cubren la cara;
• ángulo de la cara (inclinación, giro, desviación de la cabeza);
• tamaños de cara en píxeles;
• brillo / sombreado / desenfoque de la imagen;
• formato y tamaño del archivo de imagen.

La calidad de las grabaciones de voz debe cumplir con los siguientes criterios:

• la presencia del habla en la grabación de sonido;
• relación señal / ruido aceptable;
• frecuencia de muestreo y método de codificación.

Imágenes de la cara de BO

Las imágenes faciales de BO deben cumplir los siguientes requisitos:

• los colores de los píxeles de las imágenes de tipo frontal deben representarse en un espacio de color RGB de 24 bits, en el que cada píxel representa 8 bits para cada componente de color: rojo, verde y azul;
• la rotación de la cabeza no debe estar a más de 5 grados de la posición frontal;
• la inclinación de la cabeza no debe ser más de 5 grados desde la posición frontal;
• la desviación de la cabeza no debe estar a más de 8 grados de la posición frontal;
• la distancia entre los centros de los ojos debe ser de al menos 120 píxeles;
• cuando la distancia entre los centros de los ojos es de 120 píxeles, el tamaño horizontal de la imagen de la cara debe ser de al menos 480 píxeles;
• cuando la distancia entre los centros de los ojos es de 120 píxeles, el tamaño vertical de la imagen de la cara debe ser de al menos 640 píxeles;
• pelo superpuesto u objetos extraños con la imagen de la cara en todo el ancho desde las cejas hasta el labio inferior;
• solo una cara debe estar presente en la imagen, no se permite la presencia de otras caras, fragmentos de otras caras y retratos;
• la expresión facial debe ser neutra, la boca está cerrada, ambos ojos están normalmente abiertos para el sujeto respectivo (incluidos factores de comportamiento o enfermedades médicas);
• la cara debe estar iluminada de manera uniforme para que no haya sombras ni reflejos en la imagen de la cara;
• el uso de retoques y edición de imágenes no está permitido;
• se permite el recorte de imágenes;
• en el caso de fotografiar a una persona con gafas, no se permite la presencia de gafas de sol y artefactos de luz brillante o el reflejo de un flash de gafas;
• La imagen de la cara debe guardarse en un archivo .jpeg o .png.

BO grabación de voz

Las grabaciones de voz de BO deben cumplir los siguientes requisitos:

• la relación señal / ruido para el sonido es de al menos 15 dB;
• profundidad de cuantificación no inferior a 16 bits;
• frecuencia de muestreo de al menos 16 kHz;
• contenedor / formato: RIFF (WAV);
• Código de compresión: PCM / sin comprimir (0x0001)
• número de canales en la grabación de voz: 1 canal (modo mono);
• la reducción de ruido no está permitida;
• la grabación debe tener la voz de una persona;
• está prohibido obtener BO al transcodificar fonogramas grabados utilizando medios técnicos de la red telefónica pública conmutada (PSTN);
• para un algoritmo de reconocimiento de voz dependiente del texto:
• la duración de la grabación de voz depende del tamaño del diccionario utilizado;
• contenido del discurso del sujeto: frase de contraseña;
• estado emocional y psicológico y el estado de salud del sujeto: un estado normal no excitado sin manifestaciones evidentes de ninguna enfermedad (resfriados, infecciones respiratorias, etc.);
• Lista de idiomas en los que el sujeto puede hacer un mensaje de voz: ruso.

Las muestras biométricas recolectadas por empleados autorizados de organismos y organizaciones se verifican automáticamente utilizando el software de un único sistema biométrico instalado en los sistemas de información de dichos organismos y organizaciones para cumplir con los requisitos y criterios establecidos por las cláusulas 11-14 de este Procedimiento (en adelante, control de calidad).

En el caso de pasar el control de calidad, se estableció el cumplimiento de las muestras biométricas con los criterios y requisitos especificados anteriormente, tales muestras, así como la información establecida por los actos del Gobierno de la Federación de Rusia, otra información, incluida la fecha, hora y lugar de recolección de datos personales biométricos, así como El número de intentos de pasar el control de calidad son transferidos por organismos y organizaciones a un único sistema biométrico que utiliza SMEV.

En un solo sistema biométrico, basado en las muestras biométricas proporcionadas, se generan plantillas de control biométrico que se utilizan en el proceso de identificación de un ciudadano de la Federación Rusa.

Si en el proceso de control de calidad se establece que las muestras biométricas no cumplen con los criterios y requisitos, la información se transfiere al sistema biométrico unificado de acuerdo con el Reglamento, incluida la fecha, hora y lugar de recolección de datos personales biométricos.

Los datos personales biométricos, incluidos los ubicados en un solo sistema biométrico, se almacenan con fines de identificación de conformidad con el Artículo 19 de la Ley Federal No. 152- en la forma establecida por el Reglamento, durante 3 años a partir de la fecha de colocación en dicho sistema.

Requerimientos de hardware

Además de los requisitos para las muestras biométricas, el Procedimiento define los requisitos para los medios técnicos destinados al procesamiento de datos personales biométricos.

Medios técnicos para registrar imágenes de la cara de BO:

a) para registrar una imagen facial, debe usar una cámara de fotos o video (en adelante, la cámara) con las siguientes características:

• resolución de la imagen recibida: no menos de 1280x720 píxeles;
• cuando el sujeto se encuentra a una distancia de 0.3-0.5 m de la cámara, la distancia focal equivalente debe ser de 31 a 100 mm; cuando el sujeto se encuentra a una distancia de 0,51-1,0 m de la cámara, la distancia focal equivalente debe ser de 28 mm a 100 mm de la cámara;
• la toma de fotos y videos debe realizarse cuando se usa el modo de ajuste automático del balance de blancos.

b) para garantizar la reproducción natural del color de la piel, se recomienda que la temperatura de color de los iluminadores sea de 4800 a 6500 K. La temperatura de color requerida es proporcionada por fuentes de luz luminiscentes o LED. Las fuentes de luz usadas deberían crear iluminación en el área de la cara:

• para video / cámaras sin corrección automática de iluminación de al menos 300 lux;
• para video / cámaras con corrección automática de iluminación de al menos 100 lux.

Medios técnicos para registrar los votos de BO:

a) Para registrar una grabación de voz, debe usar un micrófono con las siguientes características:

• tipo: condensador (preferiblemente electret), sin control automático de ganancia;
• relación señal / ruido: no menos de 58 dB;
• rango de frecuencia: de 40 a 10000 Hz;
• sensibilidad: no menos de menos 30 dB;
• forma de haz: omnidireccional, cardioide, supercardioide o hipercardioide.

Además, el Procedimiento establece que los medios técnicos destinados al procesamiento de datos personales biométricos con el propósito de identificación deben proporcionar protección contra la selección de muestras biométricas no genuinas en la cantidad de al menos 10 ⁴ intentos por muestra.

Otros artículos en nuestro blog:

→ Libro Blanco sobre la Ley Federal No. 152: un libro al que se puede hacer referencia en materia de procesamiento de datos personales
→ Seremos considerados nuevamente: la Plataforma Biométrica Nacional y el "identificador de transferencia"
→ Datos biométricos personales de rusos
→ Los principales aspectos de la legalidad del procesamiento de datos personales en las relaciones laborales