Últimas notícias

Fique informado
Biometria

Biometria

4 de outubro de 2016

 

marcio-ramirez

Marcio Roberto Ramirez

Por Marcio Roberto Ramirez |

Tem-se verificado nos últimos anos um rápido aumento da disponibilidade e fiabilidade da tecnologia do reconhecimento facial e digital. Além disso, esta tecnologia foi integrada nos serviços para identificação, autenticação/verificação ou categorização de pessoas.

Os tipos de biometrias avalizadas pelo Comitê Gestor da ICP-Brasil para a identificação dos titulares dos Certificado Digital na ICP-Brasil, com o apelo de redução de fraude, possuem algumas particularidades a serem consideradas [1][2]:

1 – Digital

Tem um alto grau de unicidade, com uma quantidade de pontos unívocos geométricos entre si, e acurácia na resposta em encontrar as combinações possíveis com uma ótima performance dos algoritmos em uso atualmente. Contudo, a sua coleta pode ser burlada através de técnicas simples de cópia apresentada ao coletor, o que o coloca em maior fragilidade e aumenta os custos para equipamentos e processos para maior segurança na coleta, principalmente de dedos vivos e presentes no momento da coleta;

Outro fator negativo é o fato da sua taxa da característica de permanência ser afetada por acidentes naturais ou mesmo pelo desgaste natural. O que pode elevar os casos de exceção à regra.

2-Facial

Tem um alto grau de “coletabilidade”, é pouco invasiva e portanto, tem maior aceitabilidade, contudo o seu grau de permanência é baixo devido a fatores como objetos que podem ofuscar ou bloquear os pontos coletados (barba, óculos, chapéu, etc), aumentando o grau de complexidade, performance e acurácia dos algoritmos de reconhecimento;

A biometria, qualquer uma delas, possui seu ponto fraco no uso como instrumento de identificação e autenticação: uma vez roubada, pode ser utilizada sem a contra evidência de quem usou é realmente quem diz ser, e não pode ser revogada ou cancelada pelo verdadeiro dono. Sendo assim, se alguém copiar a sua biometria e usá-la, você não conseguirá revogá-la.

O que nos traz para alguns princípios de segurança no uso da biometria:
  • o uso deveria ser em um canal restrito e seguro;
  • a comprovação do uso, deveria requerer indício de que se trata de uma pessoa viva, e presente no local, e a coleta da biometria foi realizada no momento da autenticação, evitando assim o uso da cópia por foto, imagem, silicone ou similaridade;
  • o sistema de coleta deveria ser protegido desde a coleta até o servidor, sendo que o servidor deve ter a garantia que a coleta foi originada no software cliente confiável;
  • não deveria ser transportada no meio digital desejavelmente, sendo que para processos de autenticação, no máximo o “hash” da biometria deveria ser usado. Idealmente que fosse realizado um processo de MOC (Match On Card), onde a operação de confirmação do match da minúcia na autenticação fosse realizada dentro do dispositivo criptográfico e seguro;
  • se for transportada no meio digital, deveria ser criptografada, no mínimo com chaves simétricas de alta grandeza e algoritmos robustos gerados apenas para a sessão de uso;
  • se for armazenada em um servidor, deveria ser protegida por múltiplas camadas de segurança perimetral, física e lógica. Sendo que deveria também ser cifrada com criptografia forte, com acesso restrito, sendo que este acesso deveria ocorrer somente com múltiplas pessoas (3 ou mais) conjuntamente.

Em 4 de Junho de 2015, 5,6 milhões de registros de biometria digital foram roubados dos 20 milhões de funcionários do governo dos EUA cadastrados [3]; que tinham registros de coleta biométrica em seus arquivos; conforme comunicado do OPM (Office Personnel Management).

Aqui no Brasil, segundo o site do TSE (Tribunal Superior Eleitoral), mais de 24 milhões de pessoas já tiveram suas biometrias coletadas, sendo o maior caso de estudo neste segmento. Como sabemos, bancos já possuem coleta de biometria, com o uso em caixas eletrônicos e na boca do caixa. Mas onde essas biometrias coletadas estão armazenadas, e de que forma? Quem audita? Qual a regulação?

Em uma consulta ao que dizem os advogados especialistas em Certificação Digital ICP-Brasil, compilamos as seguintes anotações:

Independente dos meios de obtenção das imagens, é necessária uma base jurídica para proceder ao seu tratamento.

Eis algumas recomendações jurídicas a serem tomadas:

Se o responsável pelo tratamento de dados obter as imagens diretamente, deve-se assegurar que tem o consentimento válido das pessoas em causa, antes da obtenção, e fornecer informações suficiente acerca do momento em que a câmera está a funcionar para efeitos de reconhecimento facial;

Se os utilizadores estiverem a obter imagens digitais e a publicá-las para efeito de reconhecimento facial, o responsável pelo tratamento de dados deve assegurar-se de que as pessoas que publicaram as imagens deram o consentimento para o tratamento das mesmas, e que podem ser efetuados para efeitos de reconhecimento facial;

Se o responsável pelo tratamento dos dados estiver a obter imagens digitais de pessoas a partir de terceiros (por exemplo, copiadas de um sítio Web ou compradas a outro responsável pelo tratamento), deve analisar cuidadosamente a fonte e o contexto em que as imagens originais foram obtidas e tratadas, mas apenas se as pessoas em causa tiverem dado o consentimento para o tratamento.

Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais e os padrões são utilizados apenas para o objetivo específico para que foram fornecidas. Devem também estabelecer os controles técnicos necessários para reduzir o risco de que as imagens digitais sejam submetidas a tratamento ulterior por terceiros para finalidades para as quais o utilizador não tiver sido dado o seu consentimento. Os responsáveis pelo tratamento dos dados devem incorporar ferramentas para que os utilizadores possam controlar a visibilidade das imagens que tiverem publicado, sempre que a configuração por defeito limite o acesso de terceiros.

Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais de pessoas que não sejam utilizadores registrados do serviço ou que não tiverem dado, de qualquer outra forma, o seu consentimento para o tratamento só serão tratadas se o responsável pelo tratamento tiver um interesse legítimo em fazê-lo.

O responsável pelo tratamento dos dados deve tomar as medidas necessárias para garantir a segurança da transferência dos dados. Isto pode incluir canais de comunicação codificada ou codificação da própria imagem. Sempre que possível, sobretudo no caso da autenticação/verificação, deverá optar-se pelo tratamento local dos dados pelos motivos expostos acima.”

Não podemos nos esquecer do Marco Civil da Internet, sendo o artigo 7º, que nos traz garantias aos usuários sobre a coleta e armazenamento dos dados pessoais, mas no âmbito de acesso a internet:

Art. 7º.  O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

V – manutenção da qualidade contratada da conexão à internet;

VI – informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;

XII – acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e

XIII – aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.

E mais especificamente sobre a matéria; mas ainda não em vigor; o projeto de Lei, proposto pelo Deputado Lucas Vergílio, com justificação que tem origem no Projeto de Lei nº 3.558, de 2012, de autoria do Deputado Armando Vergílio.

Fonte e Bibliografia:

ITI (www.iti.gov.br)

[1] Biometric Research Group: http://www.cse.msu.edu/biometrics/pubs/index.html

[2] Biometric Consortium: http://www.biometrics.org/links.php

[3] Stealing Fingerprints by Bruce Schneier on Security: https://www.schneier.com/blog/archives/2015/10/stealing_finger.html

 

* Marcio Roberto Ramirez | Consultor Sr em PKI e Desenvolvimento de Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, desenvolvendo produtos e soluções de PKI, Autoridade Certificadora e protocolos de segurança desde 1996 e Colunista do CryptoID.

mramirez@consultsoftware.com.br

.

TAGS

biometria