Este año, Rostelecom presentó el Sistema biométrico unificado, un proyecto para identificar a los clientes del banco para el acceso remoto a los servicios bancarios. Gracias a la verificación biométrica, los usuarios tienen la capacidad de utilizar de forma remota servicios que anteriormente requerían una presencia física obligatoria para verificar su identidad.
Los datos biométricos para el sistema se registran en sucursales bancarias de acuerdo con estrictas regulaciones. En esta publicación, describiremos cómo implementamos la colección de datos biométricos en Promsvyazbank e intentaremos disipar los mitos asociados con este proceso.
Mientras que otras industrias estaban involucradas en la implementación de la biometría en diferentes niveles, el sector bancario solo podía experimentar con valentía con ella. La legislación restringe severamente a los bancos en materia de identificación de una persona individual y el procedimiento para la prestación de servicios. Mientras tanto, en el extranjero, comenzaron los casos bancarios de grandes proveedores de soluciones biométricas. Nuance, por ejemplo, ha recopilado y utilizado con éxito docenas de modelos de biometría de voz.
El hielo se rompió cuando se lanzó el proyecto federal Economía digital en Rusia. El 31 de diciembre de 2017, el Presidente firmó 482-FZ "Sobre la modificación de ciertas leyes legislativas de la Federación de Rusia". La primera etapa del proyecto de Economía Digital fue la creación de una plataforma biométrica nacional, el Sistema Biométrico Unificado, la base estatal de plantillas biométricas para ciudadanos de la Federación de Rusia. Junto con esto, para desarrollar la economía, se lanzó lógicamente el proyecto "Identificación remota de clientes bancarios".
Nos unimos al proyecto desde el principio, a nivel del grupo de trabajo del Ministerio de Comunicaciones y el Banco Central de la Federación de Rusia. Por lo tanto, obtuvimos el tiempo no solo para comprender el proceso en sí, sino también para pensar en nuestras acciones y el alcance del trabajo para implementar bien el proceso. Además, utilizando su conocimiento, fue posible influir en el concepto del proyecto, así como en la formación de requisitos, que en el futuro este proceso presentará a todos los bancos.
¿Cómo recolectamos datos biométricos?
Tras evaluar la documentación y los comentarios de los socios de Rostelecom, el Ministerio de Comunicaciones y el Banco Central, dividimos el servicio en cuatro partes principales.
ABS PSB-Retail es un sistema bancario para atender a individuos, que también almacena datos personales (no biométricos) de los clientes. Para este proyecto, lo finalizamos e integramos con servicios bancarios internos y un portal para registrar datos biométricos.
El portal de registro es el elemento principal del sistema, incluida la estación de trabajo (estación de trabajo) del operador del centro de servicios. Te contaremos más sobre él.
El conector entre el portal y SMEV (sistema de interacción electrónica entre agencias) es un producto de software que genera solicitudes y las envía a SMEV para que las procesen los servicios estatales de ESIA y EBS. Esta parte fue hecha para nosotros por un proveedor externo, que ya estaba creando soluciones de transporte para el banco, incluidas las relacionadas con la interacción con SMEV.
ESIA y - servicios estatales, Sistema Unificado de Identificación y Autenticación, Sistema Biométrico Unificado. Creado y mantenido por Rostelecom. Según ellos, recibimos toda la documentación, descripciones, el banco interactúa con ellos a través de SMEV.
AWP de registro de datos biométricos
El portal de registro de datos se desarrolló completamente en el lado del banco. Por un lado, debe interactuar claramente con todas las partes del sistema enumeradas anteriormente y el hardware para recopilar datos. Por otro lado, para garantizar el nivel adecuado de seguridad en el procesamiento de datos personales y biométricos y utilizar la biblioteca de control de calidad proporcionada por Rostelecom para la verificación de muestras.
Decidimos no utilizar clientes pesados, sino crear una solución web para una implementación simple en el lugar de trabajo, centralización del almacenamiento y procesamiento de datos, y la posibilidad de un refinamiento flexible de la solución.
Nuestro producto se llama ARM PAK "Registrar". PSB-BIO "- Lugar de trabajo automatizado del registrador del complejo de software y hardware". BIO "para Promsvyazbank. Todo estaba claro con el hardware del complejo: era necesario cumplir con los requisitos para el equipo (se enumeran en esta
publicación ). Y desarrollamos la parte del software nosotros mismos. Comenzamos con el desarrollo de la funcionalidad: la aplicación debería poder:
- recibir datos de una aplicación de terceros (en nuestro caso, es ABS Bank);
- proporcionar un entorno conveniente para el registro de datos biométricos, con consejos para el operador;
- automatizar todo el proceso de obtención de muestras biométricas;
- enviar datos para formar una solicitud al conector y recibir una respuesta a través de un bus de datos bancarios;
- tener en cuenta los requisitos de seguridad al trabajar con datos personales y biométricos;
- registrar acciones del sistema, sus usuarios y administrador;
- Tener en cuenta los requisitos específicos de hardware y software.
El proceso de registro se origina en el ABS del banco, para el cual escribimos una API en la parte posterior para recibir datos de sistemas de terceros. Después de que el ABS genera un pedido para el registro del cliente, se llama a la URL del portal con la transferencia de los datos necesarios.
Ahora el operador de AWP comienza el proceso de registro. Él ve en el portal una tarjeta del cliente con datos que se utilizarán para trabajar con ESIA y EBS. Aquí puede elegir qué dirección de cliente se utilizará al registrarse en ESIA (registro o residencia), y también especificar información para la entrega de la contraseña (teléfono o correo electrónico).
A continuación, se crea automáticamente una solicitud para buscar una cuenta de cliente en ESIA. De acuerdo con los resultados de la búsqueda, el servicio ofrece la posibilidad de utilizar aviones ESIA. BC - tipo de información, un protocolo para la transferencia de información de cierto tipo entre los sistemas de información del proveedor y el consumidor. Si se encuentran varias cuentas y ninguna tiene el estado confirmado, el operador elige con cuál trabajar.
Si la cuenta proporciona varios tipos de información, el operador selecciona uno de ellos bajo el control de un empleado que tiene la autoridad del controlador de la oficina central. Por lo tanto, estamos seguros de enviar datos incorrectos y excluimos la posibilidad de fraude en esta etapa.
Después de la aprobación del conjunto de datos a enviar, el operador envía una solicitud al ESIA para el tipo de información seleccionado. En respuesta, el CMEE confirma el envío de la solicitud y el operador recibe el OID de la cuenta del cliente en ESIA.
Ahora, al recibir el consentimiento del cliente para registrarse en EBS, comenzamos a recopilar datos.
Primero, el operador ajusta la posición correcta de la cámara en relación con el cliente. La estación de trabajo lo ayuda, mostrando una visualización preliminar del marco con marcas de la ubicación de la cara (punto de mira), el ángulo de la cabeza. También se muestra información numérica: resolución, tamaño de imagen, ángulo de la cabeza y distancia entre los ojos. Junto con esto hay consejos para el operador.
Después de ajustar la posición de la cámara, el operador presiona el botón de inicio de disparo. El servicio toma fotografías, verifica su cumplimiento con los requisitos de Rostelecom y muestra información al operador sobre si el cheque ha pasado o no, lo que el cliente debe hacer (bajar la barbilla, girar la cabeza, etc.).
Una vez completada esta etapa, AWP procede automáticamente a grabar muestras de voz. El cliente repite tres veces una secuencia de dígitos generada aleatoriamente de 0 a 9 en tres secuencias estándar. Después de cada entrada, la biblioteca de control de calidad lo verifica. Por cierto, esta biblioteca fue desarrollada por empleados de Promsvyazbank.
Luego, el principio y el final se anotan en los registros, se combinan en uno y se envían al EBS. Después de pasar el control en el controlador de la oficina central, las muestras biométricas se transfieren al conector para la formación y firma del paquete, se transfieren a SMEV y luego al EBS.
Después de recibir una respuesta del EBS, la tarjeta de finalización del registro se muestra en la pantalla del operador. Y de acuerdo con los resultados del registro, el cliente recibe un mensaje de ESIA.
Así es como se registran los datos en Promsvyazbank para el Sistema Biométrico Unificado.
Conceptos erróneos comunes
Sabemos que el nuevo sistema plantea preguntas para algunas personas. Comentemos varios populares:
"Los bancos serán dueños de mis datos y engañarán". No, los bancos simplemente no tienen acceso a datos biométricos de clientes e individuos. Los bancos registran a un individuo (cliente en ESIA), envían una fotografía y grabación de voz de buena calidad a la EBU. El fraude no es posible sin las plantillas biométricas del EBS, que no se crean al costado de los bancos. Los bancos no participan en el proceso de identificación en ESIA, sino que solo reciben el estado final de esta identificación.
"Mis datos serán utilizados por personas ajenas". A menudo escuchamos comentarios como "otro tomará un préstamo para mí", "una esposa con mi foto tendrá acceso a mis cuentas". No La tecnología biométrica proporciona la verificación utilizando el método Liveness, es decir, se verifica que una persona viva está en el otro extremo. Para hacer esto, el orden en que se pronuncian las frases o los números se cambia de forma impredecible, así como el movimiento de una persona, las expresiones faciales y el movimiento de los labios durante la verificación facial. Tales características biométricas multimodales aumentan la fiabilidad del método.
"Estamos siendo seguidos y, por lo tanto, todos están obligados a enviar datos". No, la entrega de datos biométricos es un asunto totalmente voluntario. Por supuesto, con el tiempo, aquellos que tengan cuentas en ESIA y EBS podrán recibir ofertas y servicios más interesantes y mucho más rápido. Pero la decisión sobre la entrega de datos biométricos siempre queda con el cliente.