Este ano, a Rostelecom lançou o Sistema Biométrico Unificado - um projeto para identificar clientes bancários para acesso remoto a serviços bancários. Graças à verificação biométrica, os usuários podem usar remotamente serviços que anteriormente exigiam uma presença física obrigatória para verificar sua identidade.
Os dados biométricos do sistema são registrados nas agências bancárias, de acordo com regulamentos estritos. Neste post, descreveremos como implementamos a coleção de biometria no Promsvyazbank e tentaremos dissipar os mitos associados a esse processo.
Enquanto outras indústrias estavam envolvidas na implementação da biometria em diferentes níveis, o setor bancário só podia experimentá-la com ousadia. A legislação restringe severamente os bancos em questões de identificação de uma pessoa e no procedimento para a prestação de serviços. Enquanto isso, no exterior, casos bancários de grandes fornecedores de soluções biométricas começaram. A Nuance, por exemplo, coletou e usou com sucesso dezenas de modelos de biometria vocal.
O gelo quebrou quando o projeto federal Economia Digital foi lançado na Rússia. Em 31 de dezembro de 2017, o Presidente assinou o 482-FZ "Em Alterar Certos Atos Legislativos da Federação Russa". A primeira etapa do projeto de Economia Digital foi a criação de uma plataforma biométrica nacional - o Sistema Biométrico Unificado - a base estadual de modelos biométricos para cidadãos da Federação Russa. Junto com isso, para desenvolver a economia, foi lançado logicamente o projeto “Identificação Remota de Clientes Bancários”.
Entramos no projeto desde o início, no nível do grupo de trabalho do Ministério das Comunicações e do Banco Central da Federação Russa. Portanto, tivemos tempo não apenas para entender o processo em si, mas também para refletir sobre nossas ações e escopo de trabalho para implementar bem o processo. Além disso, usando seu conhecimento, foi possível influenciar o conceito do projeto, bem como a formação de requisitos, que futuramente esse processo apresentará a todos os bancos.
Como coletamos biometria
Depois de avaliar a documentação e os comentários dos parceiros da Rostelecom, do Ministério das Comunicações e do Banco Central, dividimos o serviço em quatro partes principais.
O ABS PSB-Retail é um sistema bancário para atender pessoas, que também armazena dados pessoais (não biométricos) de clientes. Para este projeto, finalizamos e o integramos com serviços bancários internos e um portal para registro de dados biométricos
O portal de registro é o elemento principal do sistema, incluindo a estação de trabalho (estação de trabalho) do operador do centro de serviço. Falaremos mais sobre ele.
O conector entre o portal e o SMEV (sistema de interação eletrônica entre agências) é um produto de software que gera solicitações e as envia para o SMEV para processamento pelos serviços estaduais da ESIA e EBS. Essa parte foi feita para nós por um fornecedor externo, que já estava criando soluções de transporte para o banco, incluindo aquelas relacionadas à interação com o SMEV.
ESIA e - serviços estatais, Sistema Unificado de Identificação e Autenticação, Sistema Biométrico Unificado. Criado e mantido pela Rostelecom. Segundo eles, recebemos toda a documentação, descrições e o banco interage com eles por meio do SMEV.
AWP de registro de dados biométricos
O portal de registro de dados foi totalmente desenvolvido no lado do banco. Por um lado, ele deve interagir claramente com todas as partes do sistema listadas acima e com o hardware para coleta de dados. Por outro lado, para garantir o nível adequado de segurança no processamento de dados pessoais e biométricos e usar a biblioteca de controle de qualidade fornecida pela Rostelecom para verificação de amostras.
Decidimos não usar clientes espessos, mas criar uma solução da Web para implantação simples no local de trabalho, centralização do armazenamento e processamento de dados e a possibilidade de refinamento flexível da solução.
Nosso produto se chama ARM PAK “Registrar. PSB-BIO ”- Local de trabalho automatizado do Registrador do Complexo de Software e Hardware. BIO ”para o Promsvyazbank. Tudo ficou claro com o hardware do complexo - era necessário atender aos requisitos de equipamento (eles estão listados neste
post ). E nós mesmos desenvolvemos a parte do software. Começamos com o desenvolvimento da funcionalidade - o aplicativo deve ser capaz de:
- receber dados de um aplicativo de terceiros (no nosso caso, é o ABS Bank);
- fornecer um ambiente conveniente para o registro biométrico - com dicas para o operador;
- automatizar todo o processo de obtenção de amostras biométricas;
- enviar dados para formar uma solicitação ao conector e receber uma resposta através de um barramento de dados bancários;
- levar em consideração os requisitos de segurança ao trabalhar com dados pessoais e biométricos;
- registrar ações do sistema, seus usuários e administrador;
- leve em consideração os requisitos específicos de hardware e software.
O processo de registro é originado no ABS do banco, para o qual escrevemos uma API no verso para receber dados de sistemas de terceiros. Depois que o ABS gera um pedido de registro do cliente, a URL do portal é chamada com a transferência dos dados necessários.
Agora, o operador AWP inicia o processo de registro. Ele vê no portal um cartão de cliente com dados que serão usados no trabalho com ESIA e EBS. Aqui você pode escolher qual endereço do cliente será usado ao se registrar na ESIA (registro ou residência) e também especificar informações para a entrega da senha (telefone ou e-mail).
Em seguida, uma solicitação é criada automaticamente para procurar uma conta de cliente no ESIA. De acordo com os resultados da pesquisa, o serviço possibilita o uso de aeronaves ESIA. BC - tipo de informação, protocolo para a transferência de informações de um determinado tipo entre os sistemas de informação do fornecedor e do consumidor. Se várias contas forem encontradas e nenhuma tiver o status confirmado, o operador escolhe com qual delas trabalhar.
Se a conta fornecer vários tipos de informações, o operador seleciona um deles sob o controle de um funcionário com a autoridade do controlador do escritório central. Portanto, estamos seguros de enviar dados incorretos e excluímos a possibilidade de fraude nesta fase.
Após a aprovação do conjunto de dados a ser enviado, o operador envia uma solicitação à ESIA para o tipo de informação selecionado. Em resposta, o CMEE confirma o envio da solicitação e o operador recebe o OID da conta do cliente na ESIA.
Agora, após o recebimento do consentimento do cliente em se registrar no EBS, começamos a coletar dados.
Primeiro, o operador ajusta a posição correta da câmera em relação ao cliente. A estação de trabalho o ajuda, exibindo uma exibição preliminar do quadro com marcas da localização da face (mira), o ângulo da cabeça. Também são mostradas informações numéricas: resolução, tamanho da imagem, ângulo da cabeça e distância entre os olhos. Junto com isso, há dicas para o operador.
Depois de ajustar a posição da câmera, o operador pressiona o botão iniciar da gravação. O serviço tira fotos, verifica sua conformidade com os requisitos da Rostelecom e exibe informações ao operador se a verificação foi aprovada ou não, o que o cliente precisa fazer (abaixar o queixo, virar a cabeça etc.).
Depois de concluir este estágio, o AWP passa automaticamente a gravar amostras de voz. O cliente repete três vezes uma sequência de dígitos gerada aleatoriamente de 0 a 9 em três seqüências padrão. Após cada entrada, a biblioteca de controle de qualidade a verifica. A propósito, esta biblioteca foi desenvolvida por funcionários do Promsvyazbank.
Em seguida, o começo e o fim são anotados nos registros, são combinados em um e enviados ao EBS. Após passar o controle no controlador do escritório central, as amostras biométricas são transferidas para o conector para a formação e assinatura da embalagem, transferidas para o SMEV e posteriormente para o EBS.
Após receber uma resposta do EBS, o cartão de conclusão do registro é exibido na tela do operador. E de acordo com os resultados do registro, o cliente recebe uma mensagem da ESIA.
É assim que os dados são registrados no Promsvyazbank para o Sistema Biométrico Unificado.
Equívocos comuns
Sabemos que o novo sistema levanta questões para algumas pessoas. Vamos comentar sobre vários populares:
"Os bancos possuirão meus dados e trapacearão." Não, os bancos simplesmente não têm acesso aos dados biométricos de clientes e pessoas físicas. Os bancos registram um indivíduo (cliente na ESIA), enviam uma fotografia e uma gravação de voz de boa qualidade para a UER. A fraude não é possível sem os modelos biométricos do EBS, que não são criados ao lado dos bancos. Os bancos não participam do processo de identificação na ESIA, mas apenas recebem o status final dessa identificação.
"Meus dados serão usados por pessoas de fora." Frequentemente ouvimos comentários como “outro me empresta um empréstimo”, “uma esposa com minha foto terá acesso às minhas contas”. Não. A tecnologia biométrica fornece a verificação usando o método Liveness - ou seja, verifica-se que uma pessoa viva está do outro lado. Para fazer isso, a ordem na qual as frases ou números são pronunciados é imprevisivelmente alterada, assim como o movimento de uma pessoa, expressões faciais e o movimento dos lábios durante a verificação do rosto. Tais características biométricas multimodais aumentam a confiabilidade do método.
"Estamos sendo seguidos e, portanto, todos são obrigados a enviar dados." Não, a entrega da biometria é uma questão totalmente voluntária. É claro que, com o tempo, aqueles que possuem contas na ESIA e no EBS poderão receber ofertas e serviços mais interessantes e muito mais rapidamente. Mas a decisão sobre a entrega da biometria permanece sempre com o cliente.