ЦБ будет следить за безопасностью сбора биометрии для систем банков

ЦБ будет следить за безопасностью сбора биометрии для систем банков

Банк России намерен следить за безопасностью сбора биометрических данных во внутренние системы банков, перечислил возможные риски, связанные с их внесением в собственные базы кредитных организаций, следует из проектов нормативных актов регулятора, опубликованных на сайте Госдумы.

Российские банки начали централизованный сбор биометрических данных клиентов в июле 2018 года. Согласно информационному письму, опубликованному на сайте регулятора, до конца 2019 года такой сервис должен был начать предоставляться во всех структурных подразделениях банка в каждом регионе присутствия, однако затем ЦБ пошел на ряд уступок, в частности, для кредитных организаций с базовой лицензией. Параллельно с запуском всероссийского проекта некоторые банки собирают биометрические данные клиентов в собственные базы.

В проектах нормативных актов ЦБ приводит такие риски, связанные со сбором данных во внутренние системы, как нарушение их целостности путем удаления или подмены, а также нарушение их достоверности и компрометация. "Угроза нарушения целостности (подмена, удаление) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесение фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий", - перечислил регулятор.

Кроме того, ЦБ указал на необходимость защиты персональных данных криптографическими ключами, прошедшими проверку в ФСБ. Отдельно регулятор остановился на критериях, которым должны соответствовать мобильные приложения банков, с помощью которых они собирают биометрические данные: они должны использоваться для предоставления услуг физическим лицам, быть доступными для скачивания неограниченным кругом пользователей. Такое приложение должно использоваться для оказания услуг не менее, чем 50% клиентов, пользующихся мобильными приложениями конкретного банка.

Отдельно ЦБ оговорил случаи, в которых кредитные организации могут самостоятельно определять возможность сбора биометрии, например, если в отношении банка проводится процедура ликвидации, а также для подразделений банка, в которых клиентов обслуживает один сотрудник.

Источник: ria.ru

Поделиться: