Cette année, Rostelecom a présenté le système biométrique unifié - un projet visant à identifier les clients des banques pour l'accès à distance aux services bancaires. Grâce à la vérification biométrique, les utilisateurs ont la possibilité d'utiliser à distance des services qui nécessitaient auparavant une présence physique obligatoire afin de vérifier leur identité.
Les données biométriques du système sont enregistrées dans les agences bancaires conformément à une réglementation stricte. Dans cet article, nous décrirons comment nous avons mis en œuvre la collecte de données biométriques à Promsvyazbank et nous essaierons de dissiper les mythes associés à ce processus.
Alors que d'autres secteurs étaient engagés dans la mise en œuvre de la biométrie à différents niveaux, le secteur bancaire ne pouvait que l'expérimenter avec audace. La législation restreint sévèrement les banques en matière d'identification d'une personne et de procédure de prestation de services. À l'étranger, pendant ce temps, des cas bancaires de grands fournisseurs de solutions biométriques ont commencé. Nuance, par exemple, a collecté et utilisé avec succès des dizaines de transformations de la biométrie vocale.
La glace a éclaté lorsque le projet fédéral Digital Economy a été lancé en Russie. Le 31 décembre 2017, le président a signé 482-FZ «Sur la modification de certains actes législatifs de la Fédération de Russie». La première étape du projet d'économie numérique a été la création d'une plate-forme biométrique nationale - le système biométrique unifié - la base étatique de modèles biométriques pour les citoyens de la Fédération de Russie. Parallèlement, afin de développer l'économie, le projet «Identification à distance des clients des banques» a été logiquement lancé.
Nous avons rejoint le projet dès le début, au niveau du groupe de travail du ministère des Communications et de la Banque centrale de la Fédération de Russie. Nous avons donc eu le temps non seulement de comprendre le processus lui-même, mais aussi de réfléchir à nos actions et à notre portée de travail pour bien mettre en œuvre le processus. En outre, en utilisant ses connaissances, il a été possible d'influencer le concept du projet, ainsi que la formation des exigences, que ce processus présentera à l'avenir à toutes les banques.
Comment collectons-nous la biométrie
Après avoir évalué la documentation et les commentaires des partenaires de Rostelecom, du ministère des Communications et de la Banque centrale, nous avons divisé le service en quatre parties principales.
ABS PSB-Retail est un système bancaire de service aux particuliers, qui stocke également les données personnelles (non biométriques) des clients. Pour ce projet, nous l'avons finalisé et intégré avec des services bancaires internes et un portail d'enregistrement des données biométriques
Le portail d'enregistrement est l'élément principal du système, y compris le poste de travail (poste de travail) de l'opérateur du centre de services. Nous vous en dirons plus sur lui.
Le connecteur entre le portail et SMEV (système d'interaction électronique interagences) est un produit logiciel qui génère des requêtes et les envoie à SMEV pour traitement par les services de l'Etat de l'EIES et de l'EBS. Cette partie a été réalisée pour nous par un fournisseur externe, qui créait déjà des solutions de transport pour la banque, notamment celles liées à l'interaction avec SMEV.
ESIA et - services publics, Système d'identification et d'authentification unifié, Système biométrique unifié. Créé et maintenu par Rostelecom. Selon eux, nous avons reçu toute la documentation, les descriptions, la banque interagit avec eux via SMEV.
AWP d'enregistrement des données biométriques
Le portail d'enregistrement des données a été entièrement développé côté banque. D'une part, il doit clairement interagir avec toutes les parties du système énumérées ci-dessus et le matériel de collecte de données. D'autre part, pour garantir le bon niveau de sécurité dans le traitement des données personnelles et biométriques personnelles et utiliser la bibliothèque de contrôle qualité fournie par Rostelecom pour la vérification des échantillons.
Nous avons décidé de ne pas utiliser de clients lourds, mais de créer une solution Web pour un déploiement simple sur le lieu de travail, une centralisation du stockage et du traitement des données, et la possibilité d'un raffinement flexible de la solution.
Notre produit est appelé ARM PAK “Registrar. PSB-BIO »- Lieu de travail automatisé du complexe logiciel et matériel« Registrar. BIO ”pour Promsvyazbank. Tout était clair avec le matériel du complexe - il fallait répondre aux exigences en matière d'équipement (elles sont listées dans ce
billet ). Et nous avons développé nous-mêmes la partie logicielle. Nous avons commencé avec le développement de fonctionnalités - l'application devrait pouvoir:
- recevoir des données d'une application tierce (dans notre cas, il s'agit d'ABS Bank);
- fournir un environnement pratique pour l'enregistrement de la biométrie - avec des conseils pour l'opérateur;
- automatiser l'ensemble du processus d'obtention d'échantillons biométriques;
- envoyer des données pour former une demande au connecteur et recevoir une réponse via un bus de données de banque;
- tenir compte des exigences de sécurité lors de l'utilisation de données personnelles et biométriques personnelles;
- consigner les actions du système, de ses utilisateurs et de son administrateur;
- tenir compte des exigences spécifiques pour le matériel et les logiciels.
Le processus d'enregistrement provient de l'ABS de la banque, pour lequel nous avons écrit une API au verso pour recevoir des données de systèmes tiers. Une fois que l'ABS a généré une commande d'enregistrement du client, l'URL du portail est appelée avec le transfert des données nécessaires.
L'opérateur AWP commence maintenant le processus d'enregistrement. Il voit dans le portail une carte client avec les données qui seront utilisées pour travailler avec ESIA et EBS. Ici, vous pouvez choisir quelle adresse client sera utilisée lors de votre inscription à ESIA (inscription ou résidence), et également spécifier les informations pour la livraison du mot de passe (téléphone ou e-mail).
Ensuite, une demande est automatiquement créée pour rechercher un compte client dans ESIA. Selon les résultats de la recherche, le service donne la possibilité d'utiliser des avions ESIA. BC - type d'information, protocole de transfert d'informations d'un certain type entre les systèmes d'information du fournisseur et du consommateur. Si plusieurs comptes sont trouvés et qu'aucun n'a le statut confirmé, l'opérateur choisit celui avec lequel travailler.
Si le compte prévoit plusieurs types d'informations, l'opérateur en sélectionne un sous le contrôle d'un salarié qui a l'autorité du contrôleur du central. Nous sommes donc à l'abri de l'envoi de données incorrectes et excluons la possibilité de fraude à ce stade.
Après approbation de l'ensemble de données à envoyer, l'opérateur envoie une demande à l'EIES pour le type d'information sélectionné. En réponse, le CMEE confirme l'envoi de la demande et l'opérateur reçoit l'OID du compte du client en EIES.
Maintenant, dès réception du consentement du client à s'inscrire auprès de l'EBS, nous commençons à collecter des données.
Tout d'abord, l'opérateur ajuste la position correcte de la caméra par rapport au client. Workstation l'aide, affichant un affichage préliminaire du cadre avec des marques de l'emplacement du visage (réticule), l'angle de la tête. Des informations numériques sont également affichées: résolution, taille de l'image, angle de tête et distance entre les yeux. Parallèlement à cela sont des conseils pour l'opérateur.
Après avoir réglé la position de la caméra, l'opérateur appuie sur le bouton de démarrage de prise de vue. Le service prend des photos, vérifie leur conformité aux exigences de Rostelecom et affiche à l'opérateur si le contrôle a réussi ou non, ce que le client doit faire (baisser le menton, tourner la tête, etc.).
A l'issue de cette étape, AWP procède automatiquement à l'enregistrement d'échantillons de voix. Le client répète trois fois une séquence de chiffres générée de façon aléatoire de 0 à 9 en trois séquences standard. Après chaque entrée, la bibliothèque de contrôle qualité la vérifie. Soit dit en passant, cette bibliothèque a été développée par des employés de Promsvyazbank.
Ensuite, le début et la fin sont enregistrés dans les enregistrements, ils sont combinés en un seul et envoyés à l'EBS. Après avoir passé le contrôle au contrôleur du bureau central, les échantillons biométriques sont transférés au connecteur pour la formation et la signature du colis, transférés au SMEV puis à l'EBS.
Après avoir reçu une réponse de l'EBS, la carte de fin d'enregistrement est affichée sur l'écran de l'opérateur. Et selon les résultats de l'inscription, le client reçoit un message de l'ESIA.
C'est ainsi que les données sont enregistrées dans Promsvyazbank pour le système biométrique unifié.
Idées fausses courantes
Nous savons que le nouveau système soulève des questions pour certaines personnes. Commentons quelques-uns des plus populaires:
"Les banques seront propriétaires de mes données et tricheront." Non, les banques n'ont tout simplement pas accès aux données biométriques des clients et des particuliers. Les banques enregistrent un particulier (client en EIES), envoient une photo et un enregistrement vocal de bonne qualité à l'UER. La fraude n'est pas possible sans les modèles biométriques de l'EBS, qui ne sont pas créés du côté des banques. Les banques ne participent pas au processus d'identification à l'EIES, mais ne reçoivent que le statut final de cette identification.
"Mes données seront utilisées par des étrangers." Nous entendons souvent des remarques comme «une autre prendra un prêt pour moi», «une femme avec ma photo aura accès à mes comptes». Non. La technologie biométrique permet de vérifier à l'aide de la méthode Liveness - c'est-à-dire qu'il est vérifié qu'une personne vivante est à l'autre bout. Pour ce faire, l'ordre dans lequel les phrases ou les nombres sont prononcés est modifié de manière imprévisible, ainsi que le mouvement d'une personne, les expressions faciales et le mouvement des lèvres lors de la vérification du visage. Ces caractéristiques biométriques multimodales augmentent la fiabilité de la méthode.
"Nous sommes suivis et donc tout le monde est obligé de soumettre des données." Non, la livraison de la biométrie est une question entièrement volontaire. Bien sûr, au fil du temps, ceux qui ont des comptes dans ESIA et EBS pourront recevoir des offres et des services plus intéressants et beaucoup plus rapidement. Mais la décision sur la livraison de la biométrie appartient toujours au client.