Últimas notícias

Fique informado

Biometria Destaques Notícias

Biometria

4 de outubro de 2016

Marcio Roberto Ramirez

Por Marcio Roberto Ramirez |

Tem-se verificado nos últimos anos um rápido aumento da disponibilidade e fiabilidade da tecnologia do reconhecimento facial e digital. Além disso, esta tecnologia foi integrada nos serviços para identificação, autenticação/verificação ou categorização de pessoas.

Os tipos de biometrias avalizadas pelo Comitê Gestor da ICP-Brasil para a identificação dos titulares dos Certificado Digital na ICP-Brasil, com o apelo de redução de fraude, possuem algumas particularidades a serem consideradas [1][2]:

1 – Digital

Tem um alto grau de unicidade, com uma quantidade de pontos unívocos geométricos entre si, e acurácia na resposta em encontrar as combinações possíveis com uma ótima performance dos algoritmos em uso atualmente. Contudo, a sua coleta pode ser burlada através de técnicas simples de cópia apresentada ao coletor, o que o coloca em maior fragilidade e aumenta os custos para equipamentos e processos para maior segurança na coleta, principalmente de dedos vivos e presentes no momento da coleta;

Outro fator negativo é o fato da sua taxa da característica de permanência ser afetada por acidentes naturais ou mesmo pelo desgaste natural. O que pode elevar os casos de exceção à regra.

2-Facial

Tem um alto grau de “coletabilidade”, é pouco invasiva e portanto, tem maior aceitabilidade, contudo o seu grau de permanência é baixo devido a fatores como objetos que podem ofuscar ou bloquear os pontos coletados (barba, óculos, chapéu, etc), aumentando o grau de complexidade, performance e acurácia dos algoritmos de reconhecimento;

A biometria, qualquer uma delas, possui seu ponto fraco no uso como instrumento de identificação e autenticação: uma vez roubada, pode ser utilizada sem a contra evidência de quem usou é realmente quem diz ser, e não pode ser revogada ou cancelada pelo verdadeiro dono. Sendo assim, se alguém copiar a sua biometria e usá-la, você não conseguirá revogá-la.

O que nos traz para alguns princípios de segurança no uso da biometria:

o uso deveria ser em um canal restrito e seguro;
a comprovação do uso, deveria requerer indício de que se trata de uma pessoa viva, e presente no local, e a coleta da biometria foi realizada no momento da autenticação, evitando assim o uso da cópia por foto, imagem, silicone ou similaridade;
o sistema de coleta deveria ser protegido desde a coleta até o servidor, sendo que o servidor deve ter a garantia que a coleta foi originada no software cliente confiável;
não deveria ser transportada no meio digital desejavelmente, sendo que para processos de autenticação, no máximo o “hash” da biometria deveria ser usado. Idealmente que fosse realizado um processo de MOC (Match On Card), onde a operação de confirmação do match da minúcia na autenticação fosse realizada dentro do dispositivo criptográfico e seguro;
se for transportada no meio digital, deveria ser criptografada, no mínimo com chaves simétricas de alta grandeza e algoritmos robustos gerados apenas para a sessão de uso;
se for armazenada em um servidor, deveria ser protegida por múltiplas camadas de segurança perimetral, física e lógica. Sendo que deveria também ser cifrada com criptografia forte, com acesso restrito, sendo que este acesso deveria ocorrer somente com múltiplas pessoas (3 ou mais) conjuntamente.

Em 4 de Junho de 2015, 5,6 milhões de registros de biometria digital foram roubados dos 20 milhões de funcionários do governo dos EUA cadastrados [3]; que tinham registros de coleta biométrica em seus arquivos; conforme comunicado do OPM (Office Personnel Management).

Aqui no Brasil, segundo o site do TSE (Tribunal Superior Eleitoral), mais de 24 milhões de pessoas já tiveram suas biometrias coletadas, sendo o maior caso de estudo neste segmento. Como sabemos, bancos já possuem coleta de biometria, com o uso em caixas eletrônicos e na boca do caixa. Mas onde essas biometrias coletadas estão armazenadas, e de que forma? Quem audita? Qual a regulação?

Em uma consulta ao que dizem os advogados especialistas em Certificação Digital ICP-Brasil, compilamos as seguintes anotações:

Independente dos meios de obtenção das imagens, é necessária uma base jurídica para proceder ao seu tratamento.

Eis algumas recomendações jurídicas a serem tomadas:

Se o responsável pelo tratamento de dados obter as imagens diretamente, deve-se assegurar que tem o consentimento válido das pessoas em causa, antes da obtenção, e fornecer informações suficiente acerca do momento em que a câmera está a funcionar para efeitos de reconhecimento facial;

Se os utilizadores estiverem a obter imagens digitais e a publicá-las para efeito de reconhecimento facial, o responsável pelo tratamento de dados deve assegurar-se de que as pessoas que publicaram as imagens deram o consentimento para o tratamento das mesmas, e que podem ser efetuados para efeitos de reconhecimento facial;

Se o responsável pelo tratamento dos dados estiver a obter imagens digitais de pessoas a partir de terceiros (por exemplo, copiadas de um sítio Web ou compradas a outro responsável pelo tratamento), deve analisar cuidadosamente a fonte e o contexto em que as imagens originais foram obtidas e tratadas, mas apenas se as pessoas em causa tiverem dado o consentimento para o tratamento.

Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais e os padrões são utilizados apenas para o objetivo específico para que foram fornecidas. Devem também estabelecer os controles técnicos necessários para reduzir o risco de que as imagens digitais sejam submetidas a tratamento ulterior por terceiros para finalidades para as quais o utilizador não tiver sido dado o seu consentimento. Os responsáveis pelo tratamento dos dados devem incorporar ferramentas para que os utilizadores possam controlar a visibilidade das imagens que tiverem publicado, sempre que a configuração por defeito limite o acesso de terceiros.

Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais de pessoas que não sejam utilizadores registrados do serviço ou que não tiverem dado, de qualquer outra forma, o seu consentimento para o tratamento só serão tratadas se o responsável pelo tratamento tiver um interesse legítimo em fazê-lo.

O responsável pelo tratamento dos dados deve tomar as medidas necessárias para garantir a segurança da transferência dos dados. Isto pode incluir canais de comunicação codificada ou codificação da própria imagem. Sempre que possível, sobretudo no caso da autenticação/verificação, deverá optar-se pelo tratamento local dos dados pelos motivos expostos acima.”

Não podemos nos esquecer do Marco Civil da Internet, sendo o artigo 7º, que nos traz garantias aos usuários sobre a coleta e armazenamento dos dados pessoais, mas no âmbito de acesso a internet:

Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

V – manutenção da qualidade contratada da conexão à internet;

VI – informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;

XII – acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e

XIII – aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.

E mais especificamente sobre a matéria; mas ainda não em vigor; o projeto de Lei, proposto pelo Deputado Lucas Vergílio, com justificação que tem origem no Projeto de Lei nº 3.558, de 2012, de autoria do Deputado Armando Vergílio.

Fonte e Bibliografia:

ITI (www.iti.gov.br)

[1] Biometric Research Group: http://www.cse.msu.edu/biometrics/pubs/index.html

[2] Biometric Consortium: http://www.biometrics.org/links.php

[3] Stealing Fingerprints by Bruce Schneier on Security: https://www.schneier.com/blog/archives/2015/10/stealing_finger.html

* Marcio Roberto Ramirez | Consultor Sr em PKI e Desenvolvimento de Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, desenvolvendo produtos e soluções de PKI, Autoridade Certificadora e protocolos de segurança desde 1996 e Colunista do CryptoID.

mramirez@consultsoftware.com.br

Últimas notícias

Cloud Destaques IA Notícias

Gartner prevê que gastos mundiais de usuários finais com Nuvem Pública irão ultrapassar US$ 675 bilhões em 2024

Gartner prevê crescimento anual que deve superar 20%, impulsionado por aplicativos habilitados para Inteligência Artificial Generativa

6 de junho de 2024

Cibersegurança Destaques

Bombardeio MFA: Nova Técnica de Phishing Mirando Usuários de Dispositivos Apple

Os especialistas da Norton, uma marca de cibersegurança para o consumidor da Gen™ (NASDAQ: GEN), alertam sobre uma nova modalidade conhecida como “bombardeio MFA” ou “push bombing,

6 de junho de 2024

Destaques Eventos Notícias

Everymind e Salesforce abrem inscrições para evento de RGM para mercado de varejo e consumo

A Salesforce e a Everymind promovem o evento exclusivo “RGM em Foco: Conectando a Estratégia com o Campo” no dia 2 de julho em São Paulo.

6 de junho de 2024

Destaques Eventos Notícias

CoopsParty 2024 é oportunidade para desmitificar a inovação e aproximar jovens do cooperativismo

O CoopsParty, pela primeira vez em Goiás, 18 e 19 de novembro, já pode ser considerado o maior evento de inovação do cooperativismo brasileiro

6 de junho de 2024

Carreiras Notícias

3C Gaming anuncia Renato Paiva como novo Vice-Presidente de Operações

Empresário chega para nova fase de expansão da empresa com

5 de junho de 2024

Destaques Eventos Notícias

Febraban Tech 2024 traz inovações tecnológicas para o setor financeiro

Febraban Tech reunirá nomes de peso e organizações de ponta. Vencedora do Prêmio Nobel de Economia, Esther Duflo, tem presença confirmada.

5 de junho de 2024

Carreiras Destaques Notícias

Inscrições para concurso temporário para profissionais de TI serão encerradas em 15 dias

Novos servidores atuarão no Programa Startup GOV.BR, inscrições para concurso temporário para profissionais de TI serão encerradas em 15 dias

5 de junho de 2024

Cibersegurança COLUNISTAS Destaques Longinus Timochenco Notícias Proteção de dados

Cibersegurança em Pequenas e Médias Empresas (PMEs): Estratégias e Ferramentas

A cibersegurança é como a lei de trânsito: aplica-se a todos, sem exceção, vivemos em um mundo digital de alto tráfego e volume de dados

5 de junho de 2024

Receba Novidades

Cadastre-se em nossa newsletter e fique ligado em tudo que acontece no Crypto ID.

novembro, 2024

Filtrar eventos

Ordenar por:

Data

Título

Cor

Postado

Tipo de evento:

Todos

Local do evento:

Todos

Organizador do evento:

Todos

28out(out 28)09:0029nov(nov 29)19:00Cyber Security Summit 2024A conferência de cibersegurança mais importante da américa latina(outubro 28) 09:00 - (novembro 29) 19:00 Grand Hyatt Hotel

Mais

Detalhes do evento

O Cyber Security Summit é o pioneiro encontro internacional em cibersegurança no país, unindo anualmente líderes seniores (CEOs, CIOs, CISOs, CTOs, CROs), profissionais governamentais, diretores, gerentes e analistas de TI, além de especialistas em segurança e tecnologia organizado pelo Grupo 4CyberSec.

Seu objetivo é enfrentar os desafios urgentes da cibersegurança, fortalecer a confiança pública e ampliar nosso conhecimento coletivo. Como a principal conferência no Brasil, o Cyber Security Summit Brasil mergulha nas ameaças enfrentadas por empresas de todos os portes, destacando os perigos que tanto grandes corporações quanto negócios emergentes enfrentam no ciberespaço.

Cyber Security Summit Brasil 2024 em São Paulo

O evento exclusivo, marcado para os dias 28 e 29 de outubro no Grand Hyatt, reúne os principais especialistas em cibersegurança para discutir e enfrentar as ameaças cibernéticas em constante evolução. Ao longo de dois dias intensivos, os participantes terão acesso a insights valiosos e soluções inovadoras para os desafios da cibersegurança.

Durante o evento, mergulha-se em uma variedade de tópicos essenciais, desde a ameaça global contínua do ransomware até a dinâmica em evolução entre CISOs e CIOs nas empresas.

Explora-se o impacto da inteligência artificial na cibersegurança, a ascensão do malware ‘Info Stealer’ e as implicações das regulamentações em constante mudança. Este é um ambiente rico em conhecimento e oportunidades de networking, destinado a equipar os participantes com as ferramentas e os insights necessários para proteger suas organizações contra as ameaças do ciberespaço.

Não se perde esta oportunidade única de se manter à frente das ameaças cibernéticas em constante evolução. Junta-se a nós no Cyber Security Summit 2024 e fortalece suas defesas no mundo digital em constante mudança. Reserva-se a participação hoje mesmo!

Ingressos: https://lnkd.in/ecVsdkvz

Sobre o Grupo 4CyberSec

Estamos focados em criar uma rede de comunicação capaz de fortalecer todas as partes nessa luta diária. Nossos encontros se adaptam às necessidades de nossos clientes e os capacitam através de informações exclusivas com as soluções que as maiores potências do mundo estão utilizando para se proteger das ameaças digitais.

Hora

Outubro 28 (Segunda) 09:00 - Novembro 29 (Sexta) 19:00

Localização

Grand Hyatt Hotel

Organizador

4CYBERSEC

Grand Hyatt HotelAv. das Nações Unidas, 13301 - Itaim Bibi, São Paulo - SP, 04578-000

Calendário GoogleCal

Cadastre-se em nossa newsletter

Últimas notícias