Quiénes somos Partners Cumplimiento Empleo Contacto
logo-veridas-white-1.png

Qué requerimientos debe cumplir la tecnología biométrica para ser segura

22 de diciembre, 2021

Índice de contenidos

Legal & Compliance Director

Veridas: fiabilidad y seguridad

La tecnología no puede concebirse simplemente como una funcionalidad, sino que debe ir acompañada de una serie de garantías que permitan asegurar que esa funcionalidad es segura para los usuarios, algo que en Veridas cuidamos a cada paso en el desarrollo de nuestra tecnología.

Cuando hablamos de seguridad, podemos separarlo en dos ámbitos que, si bien están completamente relacionados, son objeto de análisis diferenciado:

  • Fiabilidad de la solución.
  • Seguridad de la información.

En su conjunto, nos permiten asegurar que la tecnología que está empleando el usuario para distintos casos de uso le ofrece las garantías necesarias para evitar fraudes, fugas de información, etc.

Fiabilidad de la solución biométrica

Las nuevas tecnologías han llegado para dar soluciones más sencillas y ágiles, pero no debe dejarse de lado la seguridad de la operación que permiten realizar. Y aquí, por seguridad de la operación, nos referimos a la fiabilidad de la misma.

Un ejemplo claro de esto es cuando el Reglamento eIDAS (Reglamento UE nº 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior) establece que la identificación de una persona podrá realizarse por medios electrónicos siempre “que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”

Y los proveedores de estas soluciones tecnológicas, deben ser capaces de evaluar que sus productos reúnen los requisitos mínimos de seguridad y que cumplen con las especificaciones del producto dadas.

En el caso de la tecnología de verificación e identificación biométrica, cada vez hay más marcos regulatorios que establecen cuáles deben ser esos requisitos mínimos de seguridad ofrecidos. Podemos hablar aquí del mencionado Reglamento eIDAS y de su Reglamento de ejecución (Reglamento de Ejecución UE 2015/1502), de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, de la Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados, del anexo F11 de la Guía de Seguridad de las TIC CCN-STIC-140, de las autorizaciones del SEPBLAC, de las guías de la AEPD y del Comité Europeo de Protección de Datos, o incluso la propuesta de reglamento de la Inteligencia Artificial de la Comisión Europea. Todos ellos, con mayor o menor detalle técnico, van sentando las bases de los requisitos exigibles a las tecnologías biométricas.

En primer lugar, y tratándose de tecnología basada en Inteligencia Artificial, debe garantizarse la calidad de las bases de datos empleadas para entrenamiento, tests y validación, la ausencia de sesgos, la precisión en las comparaciones biométricas, la precisión cuando se evalúan muestras con diferente lapso de tiempo, etc. Estas son cuestiones que son analizadas en las evaluaciones que realiza el National Institute of Standards and Technology (NIST) del departamento de Comercio de Estados Unidos, organismo que puede considerarse la referencia mundial para la evaluación de estas tecnologías.

El NIST realiza evaluaciones -gratuitas y abiertas a cualquier desarrollador público o privado- de precisión de la tecnología biométrica tanto de casos de verificación (1:1) como de identificación (1:N), siendo los resultados públicos. 

Por otro lado, debe tenerse en cuenta que la tecnología de reconocimiento biométrico no puede basarse únicamente en una comparación entre dos o más rostros, voces, etc. Si no que al mismo tiempo debe garantizarse que esos datos empleados para la comparación son legítimos. Es decir, que la persona que trata de verificar su identidad no está siendo suplantada por otra, sino que es ella misma quien se encuentra ahí, viva, y con voluntad de realizar el proceso.

Para esto debemos acudir a la norma ISO/IEC 30107, referente a la detección de ataques de presentación o, dicho de otro modo, a la detección de intentos de suplantación o engaño al sistema. Para ello, las soluciones deben contar con mecanismos de anti-spoofing (anti-fraude), activos y/o pasivos (según requieran o no una acción del usuario).

Finalmente, en algunos sectores comienza a haber certificaciones de productos de verificación de identidad con biometría. Entre los requisitos para estas certificaciones se hace referencia a los mencionados anteriormente (evaluación en el NIST, detección de ataques de presentación, etc.). A este respecto, el Centro Criptológico Nacional español publicó recientemente el anexo F.11, de herramientas de vídeo-identificación, de la Guía de Seguridad de las TIC CCN-STIC-140, que convierte estas soluciones en productos certificables.

El compromiso de Veridas con la fiabilidad de sus soluciones

Desde el año 2018, Veridas somete su tecnología a las evaluaciones periódicas del NIST. Actualmente, es la única compañía en tener sus propios sistemas evaluados en todas las categorías siguientes: Facial Recognition Vendor Test 1:1 Verification (biometría facial), Facial Recognition Vendor Test 1:N Identification (biometría facial), y Speaker Recognition Challenge (biometría de voz).

Todos los sistemas de Veridas tienen incluidas técnicas de prevención del fraude, anti-spoofing. Además, el sistema de reconocimiento facial (das-Face) de Veridas ha obtenido la certificación de iBETA en la ISO/IEC 30107-3 Level 1.

También, en la medida en que existen esquemas de evaluación y certificación, Veridas somete sus soluciones a procesos de prueba por entidades acreditadas, para poder obtener certificados de cumplimiento de toda la regulación, legal y técnica, aplicable.

Este ha sido el caso de las certificaciones que ha emitido DEKRA Testing & Certification acreditando el cumplimiento de la solución de Veridas según los requisitos establecidos en las autorizaciones emitidas por SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias), en virtud de las cuales los sujetos obligados por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, pueden emplear sistemas de identificación no presencial (tanto por videollamada como por vídeo-identificación) con sus clientes.

Asimismo, como resultado de la nueva regulación sobre la identificación no presencial para la emisión de certificados cualificados por los prestadores de servicios electrónicos de confianza cualificados (QTSP), DEKRA ha evaluado el cumplimiento de la solución de Veridas con respecto a los requisitos de la guía CCN-STIC-140, Anexo F.11 (emitiendo el informe que es necesario hasta julio de 2022), y se ha iniciado el proceso de certificación Lince.

Seguridad de la información

Podríamos hablar aquí de la “capa” que recubre toda la solución para hacer que ésta sea segura. Es decir, una vez tenemos una solución fiable en cuanto a su funcionamiento y la precisión de los resultados que arroja, es necesario garantizar también que no hay anomalías o incidentes de seguridad que impliquen “romper” esa normal actividad.

Las medidas de control y gestión en materia de seguridad de la información no necesariamente tienen que ser específicas de la tecnología biométrica. Al contrario, podemos acudir aquí a evaluaciones y certificaciones aplicables a cualquier sistema de información.

En primer lugar podríamos hablar de las certificaciones de sistemas de seguridad de la información. Aquí nos encontramos en primer término con la ISO/IEC 27001, máxima norma a nivel internacional para la gestión de la seguridad de la información. Se trata de un estándar certificable y que da garantías de que la empresa ha implantado un sistema de gestión para manejar y proteger sus activos.

Asimismo, en un plano nacional, el Esquema Nacional de Seguridad (ENS), pensado inicialmente para el ámbito de la Administración Electrónica española y adoptado ya por una multitud de entidades privadas proveedoras de las Administraciones Públicas, establece la política de seguridad en la utilización de medios electrónicos y los principios básicos y requisitos mínimos para la adecuada protección de la información. Podría decirse que -en parte por estar regulado en una Ley y Real Decreto- es un sistema compatible con la ISO 27001 pero sobre la cual añade un mayor detalle y requerimiento para la implantación y mantenimiento de un sistema de seguridad de la información.

También, a nivel europeo, podríamos hablar de la Directiva NIS (y su posterior actualización), que establece los requisitos mínimos de seguridad con el objetivo de mejorar la seguridad de las redes y sistemas de información de los Estados miembros de la Unión Europea. No es una norma certificable, pero sí de obligado cumplimiento para ciertos sectores de actividad.

Por otro lado, aunque forma parte de las medidas evaluadas en las anteriores certificaciones, debe garantizarse la seguridad en las conexiones. En este sentido, podemos hacer referencia a las medidas de seguridad aplicables en las comunicaciones, el encriptado de información en tránsito y reposo, la autenticación de sitios web, etc.

Además, también debe garantizarse la seguridad del software empleado para prestar el servicio. Asegurar que está libre de malware, realizar análisis de vulnerabilidades, tests de penetración, etc. son algunas de las prácticas habituales e imprescindibles para avalar la seguridad del sistema frente a ataques malintencionados.

El compromiso de Veridas con la seguridad de la información

En su firme compromiso con la seguridad de la información, Veridas tiene implantado un sistema de seguridad de la información auditado y certificado bajo la norma ISO/IEC 27001 y el Esquema de Seguridad de la Información. Asimismo, Veridas ha integrado en sus políticas y procedimientos todas las obligaciones derivadas de la Directiva NIS (Real Decreto 43/2021, de 26 de enero).

Internamente, y dentro de ese sistema de gestión de seguridad de la información, Veridas ha implantado procedimientos de análisis y gestión de vulnerabilidades, múltiples medidas de seguridad del servicio, controles de acceso, gestión de cambios, designación de perfiles de seguridad de la información, realización de penetration tests internos y externos, etc.

Además, en el proceso de elección de proveedores el cumplimiento por parte de estas entidades de todos los estándares y procedimientos en materia de seguridad de la información es un requisito esencial, que se supervisa de forma continua para asegurar la seguridad de todos los pasos de nuestros procesos.

Descargar ebook biometría
Compartir

Suscríbete a nuestra newsletter

Solicita tu demo Empleo
Contacto