https://pomeu.com.br/biometria-mercado/biometria-na-legislacao-brasileira/ https://pomeu.com.br/biometria-mercado/biometria-na-legislacao-brasileira/#comments Fri, 10 Apr 2009 03:58:42 +0000 Nelson Correa http://cfsec.com.br/?p=147 A biometria, conforme definição da ISO/IEC em seu vocabulário harmonizado, é o reconhecimento automatizado de indivíduos, baseado em suas características comportamentais e biológicas (Biometrics = automated recognition of individuals based on their behavioural and biological characteristics). É uma tecnologia relativamente nova em todo o mundo, e aqui no Brasil, vem sendo adotada há um pouco mais de dez anos, mas foi nos últimos 3 anos que começou a ganhar velocidade de adoção.

Dada a sua juventude, não temos legislação específica para tratar o uso da biometria em nosso país. Já existem procedimentos operacionais, normas legais e estudo de leis específicas para os Detrans estaduais, Denatran e mais recentemente, para a legislação eleitoral, por conta das urnas biométricas que já estão sendo testadas pelo TSE desde 2008.

Aprofundando um pouco a pesquisa, podemos encontrar uma afirmação em documento de profissionais de odontologia sobre a Medida Provisória 2.200-2 de agosto de 2001, que instituiu a Infra-estrutura de Chaves Públicas Brasileira – ICP-Brasil, e o uso de arquivos digitais na odontologia. Neste documento, eles lembram que o Art. 37 – parágrafo primeiro – Lei 6.015/73 reconhece a impressão digital como forma de identificação pessoal irrefutável. Ou seja, qualquer indivíduo poderá ser identificado ou verificado por suas impressões digitais.

Ainda pesquisando, achamos na revista Jus Vigilantibus, excelente artigo dos advogados Antonio Baptista Gonçalves e Roseli Ribeiro. E lá eles chegam à mesma constatação: “juridicamente, por se tratar de um assunto novo, não há uma legislação brasileira própria sobre a matéria”. Mas lembram que deve-se então aplicar o artigo 5º inciso X da Constituição Federal, que trata, dentre outras coisas, que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Ou seja, se uma empresa cadastrar uma característica biométrica de um indivíduo, ela tem a responsabilitade de garantir que essa informação não vaze ou seja usada de forma que viole a intimidade, a vida privada, a honra e a imagem daquele indivíduo.

Finalizando nossa busca, no site de Patricia Peck Pinheiro Advogados, outro artigo muito bom da própria advogada Patrícia Peck, reforça o artigo 5º inciso X da Constituição Federal, e completa sugerindo que em qualquer cadastramento de dados biométricos, deve-se tomar autorização prévia, “uma vez que a inviolabilidade da pessoa consiste na tutela do aspecto físico, como é perceptível visivelmente”. Além disso, ela recomenda que se proteja e que se defina um tempo de guarda máximo, a partir do encerramento da relação entre as partes.

Concluindo, até a presente data, o melhor procedimento legal para o uso da biometria na relação de empresas com indivíduos é a definição de uma política de segurança com avaliação do risco para os templates biométricos, a adoção de controles de segurança que minimizem os riscos, com controle e registro do uso dos dados biométricos somente por pessoas e sistemas autorizados, além de um documento que será apresentado ao indivíduo para a anuência da coleta de suas características biométricas. Por fim, sugiro que nunca, sob hipótese alguma, guarde-se as imagens das características biométricas tomadas dos indivíduos, somente dos templates gerados pelos algoritmos biométricos a partir destas imagens, que deverão ser descartadas imediatamente após esse processamento.

Creative Commons (by-nc-nd) CFSEC/h7>]]> https://pomeu.com.br/biometria-mercado/biometria-na-legislacao-brasileira/feed/ 1

Para os órgãos governamentais que queiram se basear nos padrões ISO/IEC para especificar suas licitações, é de conhecimento obrigatório. São elas:

PUBLICADAS

ISO/IEC 19784-1:2006
Information technology — Biometric application programming interface — Part 1: BioAPI specification

ISO/IEC 19784-1:2006/Amd 1:2007
BioGUI specification

ISO/IEC 19784-2:2007
Information technology — Biometric application programming interface — Part 2: Biometric archive function provider interface

ISO/IEC 19785-1:2006
Information technology — Common Biometric Exchange Formats Framework — Part 1: Data element specification

ISO/IEC 19785-2:2006
Information technology — Common Biometric Exchange Formats Framework — Part 2: Procedures for the operation of the Biometric Registration Authority

ISO/IEC 19785-3:2007
Information technology — Common Biometric Exchange Formats Framework — Part 3: Patron format specifications

ISO/IEC 19794-1:2006
Information technology — Biometric data interchange formats — Part 1: Framework

ISO/IEC 19794-2:2005
Information technology — Biometric data interchange formats — Part 2: Finger minutiae data

ISO/IEC 19794-3:2006
Information technology — Biometric data interchange formats — Part 3: Finger pattern spectral data

ISO/IEC 19794-4:2005
Information technology — Biometric data interchange formats — Part 4: Finger image data

ISO/IEC 19794-5:2005
Information technology — Biometric data interchange formats — Part 5: Face image data

ISO/IEC 19794-5:2005/Amd 1:2007
Conditions for taking photographs for face image data

ISO/IEC 19794-5:2005/Cor 1:2008

ISO/IEC 19794-5:2005/Cor 2:2008

ISO/IEC 19794-6:2005
Information technology — Biometric data interchange formats — Part 6: Iris image data

ISO/IEC 19794-7:2007
Information technology — Biometric data interchange formats — Part 7: Signature/sign time series data

ISO/IEC 19794-8:2006
Information technology — Biometric data interchange formats — Part 8: Finger pattern skeletal data

ISO/IEC 19794-9:2007
Information technology — Biometric data interchange formats — Part 9: Vascular image data

ISO/IEC 19794-10:2007
Information technology — Biometric data interchange formats — Part 10: Hand geometry silhouette data

ISO/IEC 19795-1:2006
Information technology — Biometric performance testing and reporting — Part 1: Principles and framework

ISO/IEC 19795-2:2007
Information technology — Biometric performance testing and reporting — Part 2: Testing methodologies for technology and scenario evaluation

ISO/IEC TR 19795-3:2007
Information technology — Biometric performance testing and reporting — Part 3: Modality-specific testing

ISO/IEC 19795-4:2008
Information technology — Biometric performance testing and reporting — Part 4: Interoperability performance testing

ISO/IEC 24708:2008
Information technology — Biometrics — BioAPI Interworking Protocol

ISO/IEC 24709-1:2007
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 1: Methods and procedures

ISO/IEC 24709-2:2007
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 2: Test assertions for biometric service providers

ISO/IEC 24713-1:2008
Information technology — Biometric profiles for interoperability and data interchange — Part 1: Overview of biometric systems and biometric profiles

ISO/IEC 24713-2:2008
Information technology — Biometric profiles for interoperability and data interchange — Part 2: Physical access control for employees at airports

ISO/IEC TR 24714-1:2008
Information technology — Biometrics — Jurisdictional and societal considerations for commercial applications — Part 1: General guidance

ISO/IEC TR 24722:2007
Information technology — Biometrics– Multimodal and other multibiometric fusion

ISO/IEC TR 24741:2007
Information technology — Biometrics tutorial

EM DESENVOLVIMENTO

ISO/IEC 19784-1:2006/FPDAmd 2
Framework-free BioAPI

ISO/IEC 19784-1:2006/FPDAmd 3
Support for the interchange of certificates and security assertions and other security aspects

ISO/IEC CD 19784-4
BioAPI — Biometric Application Programming Interface — Part 4: Biometric sensor function provider interface

ISO/IEC 19785-1:2006/FPDAmd 1
Support for Additional Data Elements

ISO/IEC 19785-2:2006/FPDAmd 1
Addditional Registrations

ISO/IEC 19785-3:2007/FPDAmd 1
Support for Additional Data Elements

ISO/IEC FCD 19785-4.2
Information technology — Common Biometric Exchange Formats Framework — Part 4: Security Block format specifications

ISO/IEC CD 19794-1
Information technology — Biometric data interchange formats — Part 1: Framework

ISO/IEC CD 19794-2
Information technology — Biometric data interchange formats — Part 2: Finger minutiae data

ISO/IEC 19794-2:2005/FPDAmd 1
Detailed Description of Finger Minutiae location, Direction and Type

ISO/IEC 19794-2:2005/CD Cor 1

ISO/IEC WD 19794-3
Information technology — Biometric data interchange formats — Part 3: Finger pattern spectral data

ISO/IEC CD 19794-4
Information technology — Biometric data interchange formats — Part 4: Finger image data

ISO/IEC 19794-4:2005/CD Cor 1

ISO/IEC CD 19794-5
Information technology — Biometric data interchange formats — Part 5: Face image data

ISO/IEC 19794-5:2005/FPDAmd 2
Three dimensional face image data interchange format

ISO/IEC WD 19794-6
Information technology — Biometric data interchange formats — Part 6: Iris image data

ISO/IEC CD 19794-8
Information technology — Biometric data interchange formats — Part 8: Finger pattern skeletal data

ISO/IEC CD 19794-11
Information technology — Biometric data interchange formats — Part 11: Signature/sign processed dynamic data

ISO/IEC WD 19794-13
Information technology — Biometric data interchange formats — Part 13: Voice Data

ISO/IEC WD 19794-14
Information technology — Biometric data interchange formats — Part 14: DNA Data

ISO/IEC NP 19794-N
Information technology — Biometric data interchange formats — Part N: Face Identity Data

ISO/IEC CD 19795-5
Information technology — Biometric performance testing and reporting — Part 5: Framework for biometric device performance evaluation for access control

ISO/IEC CD 19795-6
Biometric Performance Testing And Reporting — Part 6: Testing Methodologies for Operational Evaluation

ISO/IEC CD 19795-7
Biometric Performance Testing and Reporting — Part 7: Testing of ISO/IEC 7816-based Verification Algorithms

ISO/IEC 24708:2008/NP Amd 1
Support for interchange of certificates and security assertions and other security aspects

ISO/IEC CD 24709-3
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 3: Test assertions for BioAPI frameworks

ISO/IEC WD 24709-4
Information technology — Conformance testing for the biometric application programming interface (BioAPI) — Part 4: Test assertions for biometric applications

ISO/IEC FCD 24713-3
Information technology — Biometric profiles for interoperability and data interchange — Part 3: Biometrics-based verification and identification of seafarers

ISO/IEC WD TR 24714-2
Information technology — Biometrics — Jurisdictional and societal considerations for commercial applications — Part 2: Specific technologies and practical applications

ISO/IEC WD 24779-1
Pictograms, Icons and Symbols for use with Biometric Systems — Part 1: Overview

ISO/IEC WD 24779-2
Pictograms, Icons and Symbols for use with Biometric Systems — Part 2: Fingerprint applications

ISO/IEC FCD 29109-1
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 1: Generalized conformance testing methodology

ISO/IEC FCD 29109-2
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 2: Finger minutiae data

ISO/IEC NP 29109-3
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 3: Titre manque

ISO/IEC FCD 29109-4
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 4: Finger image data

ISO/IEC CD 29109-5
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 5: Face image data

ISO/IEC WD 29109-6
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 6: Iris image data

ISO/IEC WD 29109-9
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 9: Vascular image data

ISO/IEC FCD 29109-10
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 10: Hand geometry silhouette data

ISO/IEC NP 29109-11
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 11: Signature/sign processed dynamic data

ISO/IEC NP 29109-13
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 13: Speech data interchange format for speaker recognition

ISO/IEC WD 29109-14
Information technology — Conformance testing methodology for biometric data interchange formats defined in ISO/IEC 19794 — Part 14: DNA data

ISO/IEC WD 29120-1
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 1: Framework and components

ISO/IEC NP 29120-2
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 2: Test Input Data

ISO/IEC NP 29120-3
Information technology — Machine Readable Test Data for biometric testing and reporting — Part 3: Test Reports

ISO/IEC NP 29120-4
Conformance Testing Methodology for Biometric Data Interchange formats defined in ISO/IEC 19794. — Part 4: Biometric test certificates

ISO/IEC FCD 29141
Information technology — Biometrics — Tenprint capture using biometric application programming interface (BioAPI)

ISO/IEC NP 29144
the Role of Biometrics in Identity Management

ISO/IEC CD 29159-1
Biometric Calibration, augmentation and fusion data — Part 1: Fusion information format

ISO/IEC CD 29164
BioAPI Lite

ISO/IEC FCD 29794-1.2
Information technology — Biometric sample quality — Part 1: Framework

ISO/IEC DTR 29794-4
Information Technology – Biometric Sample Quality — Part 4: Finger Image Data

ISO/IEC DTR 29794-5
Information Technology – Biometric Sample Quality — Part 5: Face Image Data

(*) ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002).

Creative Commons (by-nc-nd) CFSEC/h7>]]> https://pomeu.com.br/biometria-padroes/normas-isoiec-relacionadas-a-biometria/feed/ 0 https://pomeu.com.br/biometria-conceitos/autenticacao-identificacao-ou-verificacao/ https://pomeu.com.br/biometria-conceitos/autenticacao-identificacao-ou-verificacao/#comments Wed, 01 Apr 2009 01:53:36 +0000 Nelson Correa http://cfsec.com.br/?p=122 Esses termos são encontrados em qualquer literatura sobre biometria. Muitas vezes, fornecedores diferentes usam os mesmos termos com definições e objetivos diferentes. Uma das melhores definições disponíveis na literatura de segurança e biometria é a de Hossein Bidgoli, em sua coleção “Handbook of information security” (Published by John Wiley and Sons, 2006 – ISBN 0471222011, 9780471222019).

Bidgoli não quer criar as definições ideais, mas tenta somente explicar o que cada termo significa na literatura sobre biometria. Normalmente usamos a palavra autenticação, como uma descrição genérica do processo de autorização para que um indivíduo tenha acesso a ativos ou serviços.

Esse processo, como definiu a U.K.’s e-Government Unit (2002) pode ser dividido em dois estágios:

Registro: é o processo onde o indivíduo ganha uma credencial, como um username ou certificado digital, para ser usado no processo de autenticação. O ideal é que este indivíduo possa provar com documentos e presença física que ele é quem diz ser no momento do registro.

Autenticação: é o processo em que a identidade eletrônica é verificada e validade por um sistema de informação, para uma determinada situação, usando a credencial que foi emitida no registro.

Isso é “chover no molhado” para o mundo de segurança da informação. Dificilmente outras definições de autenticação serão muito diferentes dessa que foi definida acima. Mas quando entramos no mundo da biometria, os termos verificação e identificação assumem significados especiais.

Verificação: é o processo biométrico que vai determinar a validade de uma identidade apresentada. Conceitualmente isso pode ser entendido como o processo de comparar um a um (1:1) a amostra da característica biométrica apresentada com o template biométrico que foi registrado para determinar se são do mesmo indivíduo. Por exemplo: colhe-se a impressão digital do dedo indicador da mão direita de um indivíduo. No processo de verificação, ele apresenta sua digital do dedo indicador da mão direita para comparação com aquele que foi colhido no registro. Como resultado, teremos somente duas respostas: sim, é o mesmo indivíduo, ou não, são indivíduos distintos.

Identificação: é o processo biométrico que identifica um indivíduo, por suas características biométricas, dentro de uma base de dados registrada. Conceitualmente esse é um processo de comparação de um para muitos (1:N), onde se apresenta uma amostra da característica biométrica e, busca-se em uma base de templates biométricos registrados, a qual indivíduo pertence aquela amostra. Como resultado, teremos somente uma resposta: um único indivíduo em que a comparação da amostra com o template é aceita.

Mas para que não haja mais dúvidas quanto aos termos e seus significados, a ISO – International Organization for Standardization em seu Comitê Técnico JTC 1 (Joint ISO/IEC Technical Committee), subcomitê SC 37 que trata dos padrões internacionais relacionados à biometria (criado em 2002), vem publicando desde 2002 o Harmonized Biometric Vocabulary, que teve sua 10ª edição lançada em dezembro de 2008. Este documento coloca definitivamente uma pedra nas várias definições e oferece ao mercado uma nomenclatura única e oficial.

No Vocabulário Biométrico Harmonizado da ISO/IEC, encontramos as seguintes definições para os termos em questão:

Autenticação: esse termo já foi usado como sinônimo de aplicação para verificação biométrica, função de verificação biométrica, mas também para sinônimo de aplicação de identificação biométrica e função de identificação biométrica. Usar este termo como sinônimo de verificação biométrica ou identificação biométrica não é mais aceito. O ideal é que se entenda autenticação no ambiente da biometria, como: reconhecimento biométrico.

Registro: o ato ou processo de registro ou de ser registrado. O mesmo que enrolment, que é o ato de capturar uma característica biométrica e arquivá-la em uma base de dados ou em local privativo ao próprio indivíduo (ex. smartcard)

Identificação: o mais comumente usado hoje é: identificar, que é o processo de busca biométrica em uma base de dados biométricos capturados, para achar e indicar um identificador de referência biométrica atribuído a um único indivíduo.

Verificação: o mais comumente usado hoje é: verificar, que é o processo de confirmar uma determinada característica biométrica através de comparações biométricas.

A partir de agora, estas serão as definições que usaremos na CFSEC Security Architects para os termos discutidos acima.

Creative Commons (by-nc-nd) CFSEC/h7>]]> https://pomeu.com.br/biometria-conceitos/autenticacao-identificacao-ou-verificacao/feed/ 0