© 1995-2021 Компания «Инфосистемы Джет»
Нюансы защиты биометрических данных
Информационная безопасность

Сбербанк и «Азбука Вкуса» открыли первый в российском ритейле биометрический проект

Информационная безопасность Тренд

Нюансы защиты биометрических данных

25.10.2016

Посетителей: 256

Просмотров: 231

Время просмотра: 3.1 мин.

Сбербанк оснастил кассы в одном из магазинов сети «Азбука Вкуса» POS-терминалами с функцией биометрической идентификации. Перед тем как оплатить покупки без предъявления банковской карты, покупателям необходимо пройти короткую процедуру регистрации на кассе супермаркета, в ходе которой отпечатки двух произвольных пальцев привяжут к банковской карте международных платежных систем VISA или MasterCard.

 

 

Биометрические данные клиентов после сканирования преобразуются в уникальный набор числовых кодов. Каждому коду присваивается идентификатор, который в обособленной базе данных привязывается к предъявленной при регистрации банковской карте.

 

Морковчин Александр, старший консультант по информационной безопасности Центра информационной безопасности компании «Инфосистемы Джет» рассказ о нюансах обработки и защиты биометрических данных.

 

Тема обработки и защиты биометрических персональных данных регулярно поднимаются в блогах экспертов, ввиду нарастающей тенденции использования биометрических сканеров и терминалов в повседневной жизни (таких как СКУД, системы учета рабочего времени и др.)

 

В части вопроса безопасности использования биометрических данных для проведения платежей необходимо отметить, что в используемых терминалах непосредственно не хранятся сами исходные графические изображения отпечатков пальцев. Изображения папиллярных узоров регистрируются с использованием биометрического сканера, извлекающего их отличительные характеристики, выделенные свойства записываются в виде математического шаблона, хранимого в базе данных устройства. Восстановление изображения из такого шаблона невозможно, как и использование математического шаблона вне устройства.

 

Вопрос безопасности биометрических платежей лежит скорее в плоскости качества распознавания образов такими устройствами, а также технологий распознавания подделок (муляжей пальцев). Отдельное внимание необходимо уделить физической безопасности считывающего сканера и самого терминала, так как устройства, позволяющие похищать биометрические данные (биометрические скиммеры) уже доступны в продаже на черном рынке.

 

Организациям, использующим биометрические технологии для автоматизации бизнес процессов или предоставлении уникальных услуг, помимо безопасности таких устройств, необходимо отдельно уделить внимание некоторым правовым аспектам использования такой категории персональных данных.

Особенности обработки биометрических персональных данных отражены в статье 11 Федерального закона «О персональных данных». Также частично вопросы обработки биометрических персональных данных отражены в разъяснениях Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», а также в опубликованном научно-практическим комментарием под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой.

 

Согласно общему правилу обработки биометрических персональных данных, такая обработка допускается только с письменного согласия субъекта персональных данных, а значит со всех граждан, планирующих использование отпечатков для оплаты товаров и услуг, необходимо взять письменное согласие по установленной законом форме.

 

Также, исходя из определения ИСПДн (информационная система персональных данных), данного в ст.3 Федерального закона «О персональных данных», система обработки биометрических ПДн безусловно должна рассматриваться как ИСПДн и в отношении нее должны быть приняты все предусмотренные законодательством организационные и технические меры от неправомерных действий в отношении хранимых данных.

 

На данный момент технология запущена в супермаркете по адресу Москва, Нахимовский проспект, 61.

 

Уведомления об обновлении тем – в вашей почте

Приведение двух процессинговых центров компании «МультиКарта» в соответствие с требованиями международного стандарта безопасности в индустрии платежных карт PCI DSS

Соответствие требованиям стандарта PCI DSS – обязательное требование международных платежных систем, распространяющееся на все организации, которые хранят, обрабатывают или передают данные держателей платежных карт.

«Центр оперативного управления ИБ – гарантия и уверенность в уровне обеспечения информационной безопасности»

На сегодняшний день главной целью злоумышленников является не просто взлом сети или проникновение в систему, а извлечение прибыли.

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Взгляд на защиту виртуальных сред с точки зрения PCI DSS

Повсеместный переход к использованию виртуальных сред в организациях, обрабатывающих данные о платежных картах, повлек за собой необходимость изменения документов, определяющих требования безопасности к платежным системам.

Интервью с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»

Если составить список самых обсуждаемых за последний год ИТ-тем в банковской среде, в Топ-5 обязательно войдут проблемы безопасности систем ДБО, перспективы аутсорсинга банковских систем и систем информационной безопасности, а также облачный вопрос. У медали, как известно, две стороны: преимущества новых технологий несут с собой дополнительные угрозы.

Собственный киберполигон, пентесты, биометрия и «Модель Аэропорт»: о чем рассказали на Jet Security Conference

Что такое ИБ-фреймворк «Модель Аэропорт»? Зачем «Инфосистемы Джет» решили вывести на рынок киберполигон? Почему всех заинтересовала биометрия, особенно способ открыть холодильник с просекко?

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Приведение системы информационной безопасности ОАО Банк ЗЕНИТ в соответствие с требованиями стандарта PCI DSS

ОАО Банк ЗЕНИТ имеет собственный процессинговый центр для обработки транзакций по международным платежным картам. Одной из важнейших задач Банка является обеспечение сохранности данных пользователей, особое внимание уделяется вопросам защищенности технологических операций и процессам управления информационной безопасностью (ИБ).

«Нужен кредит? Сделай селфи для банка!»

Мы встретились с директором по цифровой идентичности ПАО «Ростелеком» Иваном Беровым, чтобы узнать, как будет работать система и на какие секторы экономики повлияет создание биометрической системы.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня