O que você precisa saber sobre conformidade e testes biométricos

No cenário digital atual, a verificação remota de identidade tornou-se crucial para garantir a segurança e a confiança. A verificação biométrica facial surgiu como um dos métodos mais seguros e confiáveis. No entanto, as organizações precisam de um nível de confiança de que estão escolhendo uma solução comprovada.

Os testes de conformidade desempenham um papel fundamental para garantir a eficácia e a integridade dos sistemas biométricos. Ele pode fornecer uma referência de precisão, capacidade e interoperabilidade, o que gera confiança, melhora o desempenho do sistema e reduz o risco de fraude ou acesso não autorizado.

A iProov, pioneira no espaço de verificação de identidade biométrica, realizou grandes esforços para tornar seu Conjunto de Soluções Biométricas um dos mais credenciados, testados e robustos do mundo.

Primeiro, analisaremos as certificações existentes da estrutura de testes de conformidade do iProov e, em seguida, consideraremos como a segurança biométrica deve ir além dessas estruturas existentes.

Conquistas de conformidade do iProov

A iProov obteve as seguintes certificações e credenciamentos, demonstrando o compromisso com os padrões e as práticas recomendadas líderes do setor.

Certificação da FIDO Alliance

O iProov Dynamic Liveness® é a primeira solução do mundo com certificação FIDO para verificação remota de face, credenciada pela Ingenium Biometrics. Essa certificação representa um marco significativo no campo da verificação de identidade biométrica.

O que é isso?

A Certificação de Verificação Facial FIDO é o programa de avaliação mais rigoroso que avalia a confiabilidade, a usabilidade e a segurança dos sistemas remotos de verificação de identidade.

O que isso significa?

• O Dynamic Liveness passou por uma extensa avaliação de seus recursos de correspondência facial e detecção de vivacidade, em conformidade com as normas ISO 19795 e ISO 30107.
• A tecnologia frustrou com sucesso todos os tipos de ataques de apresentação, incluindo fotos, máscaras, transformações de rosto, vídeos e deepfakes apresentados.
• Essa certificação confirma a robustez da solução, afirmando sua defesa inigualável contra ameaças em evolução durante todo o ciclo de vida da identidade.
• Ele define um padrão de qualidade e destaca a capacidade do iProov de proteger os consumidores contra ataques de apresentação e deepfakes apresentados.

ISO/IEC 27001:2013

A ISO é uma norma que busca garantir que as organizações tenham sistemas de gerenciamento de segurança da informação adequados e apropriados em vigor. Ela dá credibilidade ao fato de que uma organização está protegendo os dados dos clientes e levando a segurança dos dados a sério.

• As frequentes auditorias voluntárias do British Assessment Bureau reforçam o compromisso da iProov com a proteção dos dados dos clientes.
• Nosso número de certificado ISO é 231387 e pode ser verificado aqui.

SOC 2 Tipo II

O SOC 2 é um padrão reconhecido internacionalmente que verifica a eficácia dos controles que gerenciam os dados dos clientes em um ambiente hospedado na nuvem.

• Essa certificação garante que o sistema da iProov foi projetado com controles organizacionais adequados para proteger informações confidenciais.
• A Linford & Co realiza auditorias anuais, garantindo o compromisso contínuo do iProov com a confidencialidade e a privacidade dos dados.
• Saiba mais sobre o iProov e o SOC 2 Tipo II aqui

Diretrizes de acessibilidade de conteúdo da Web (WCAG) 2.2 AA

As WCAG (Web Content Accessibility Guidelines) são um padrão de práticas recomendadas de acessibilidade internacionalmente reconhecido para experiências digitais. Todos os produtos de biometria facial da iProov estão em conformidade com a WCAG 2.2 AA, demonstrando o design centrado no usuário da iProov, enfatizando a inclusão e a acessibilidade.

• A iProov é o primeiro fornecedor de biometria do mundo a estar em conformidade, o que reflete nossa dedicação em estabelecer os padrões do setor.
• Os testes de conformidade foram realizados por especialistas externos em acessibilidade TetraLogicalmembro do W3C e colaborador dos padrões, incluindo as WCAG.
• Saiba mais sobre as WCAG 2.2 e a importância dos "testes de função não cognitiva" aqui

Regulamento europeu eIDAS para nível de serviço de confiança qualificado e nível de garantia de identidade eletrônica alto

As soluções iProov estão em conformidade com a norma EN 319-401, certificada por auditores independentes, incluindo a TÜV Austria e a Ernst & Young, para conformidade com a cláusula 24 1(d) do eIDAS. Além disso, é certificado modularmente como compatível com os regulamentos eIDAS para o fornecimento de serviços de verificação e autenticação biométrica, ETSI EN 319 411-1 e ETSI EN 319 411-2.

Os Níveis de Garantia eIDAS referem-se ao "grau de confiança na identidade reivindicada de uma pessoa". A conformidade com o LoA High oferece confiança no rigor e na força da solução.

• A conformidade do iProov com as regulamentações eIDAS permite que o iProov forneça serviços de integração e autenticação para Provedores de Serviços de Confiança Qualificados (QTSPs) em toda a União Europeia (UE) sem a necessidade de auditorias de integração complicadas.
• A iProov é a primeira a obter a conformidade LoA High, definindo o padrão internacional de segurança.
• Saiba mais sobre a importância da associação do eIDAS e do iProov aqui.

Estrutura de confiança de atributos e identidade digital do Reino Unido (DIATF)

• O iProov é um provedor de serviços de identidade digital (IDSP) certificado, tendo sido submetido a uma rigorosa avaliação independente.
• As auditorias anuais do EY British Assessment Bureau atestam a adesão da iProov aos mais altos padrões de tecnologia, segurança e processos.

iBeta ISO/IEC 30107-3 e ISO 9001-2015

O iProov está em conformidade com os requisitos relevantes das normas ISO/IEC 19795-1:2006 e ISO/IEC 30107-3:2017.

• Nossas metodologias para testar a detecção de ataques de apresentação estão suficientemente em conformidade com os padrões ISO, auditados pela iBeta e pelo National Physical Laboratory (NPL) do Reino Unido.
• A iProov também está em conformidade com a ISO 9001:2015, auditada pelo British Assessment Bureau, garantindo práticas de teste abrangentes.

Atestado CSA Star

O CSA Star Attestation é o "programa mais poderoso do setor para garantia de segurança na nuvem".

• As auditorias anuais da EY garantem que os funcionários da iProov sejam desenvolvidos profissionalmente para obter competência em segurança na nuvem.

IRAP (Programa de Assessores Registrados em Segurança da Informação) da Austrália

• O iProov está em conformidade com IRAP de acordo com as políticas e padrões da Australian Signals Directorate (ASD).
• As auditorias anuais da Foresight estabelecem a conformidade contínua do iProov com os padrões de alta segurança definidos pelo governo australiano.
  

O iProov também foi exaustivamente testado fora dos padrões de conformidade: O Departamento de Segurança Interna implantou técnicas de ponta para falsificar o iProov, mas não obteve sucesso. O iProov também foi verificado pelos governos do Reino Unido, de Cingapura e da Austrália como parte de sua Due Diligence Nacional.

Em essência, essas conquistas significam a dedicação do iProov aos padrões líderes do setor, enfatizando a eficácia de nossas soluções biométricas e nosso compromisso com a acessibilidade do usuário, a segurança dos dados e a conformidade com as normas globais.

Visite nosso Repositório de Conformidade para saber mais.

Qual é a diferença entre teste de conformidade e teste de conformidade?

O teste de conformidade é voluntário, enquanto a conformidade com os regulamentos é um requisito legal. Por exemplo, todas as entidades que processam dados na UE devem estar em conformidade com o GDPR por lei. Dessa forma, a iProov está em conformidade com a Lei de Proteção de Dados do Reino Unido e com o GDPR da UE. O teste de conformidade, no entanto, não é um requisito legal - as organizações optam por estar em conformidade com padrões como ISO, WCAG, eIDAS e iBeta por vontade própria.

Se você estiver avaliando fornecedores de biometriaexaminar quais padrões esses fornecedores estão em conformidade deve ser uma etapa importante na seleção do fornecedor certo. O fato de estar em conformidade com vários padrões indica que um determinado fornecedor de biometria foi testado por terceiros e pode identificar se o fornecedor está equipado para atender às suas necessidades.

Limitações dos testes de conformidade existentes para soluções biométricas

Os testes de conformidade são adequados para demonstrar a adesão a objetivos relativamente estáveis, como a usabilidade e a acessibilidade de uma tecnologia.

Mas quando se trata de segurança cibernética biométrica, o cenário de ameaças não é nada estático. A avaliação das normas ISO/IEC para detecção de ataques de apresentação (PAD) está entre os testes mais comuns fornecidos por laboratórios certificados e independentes. Porém, no atual cenário de ameaças, isso não é suficiente.

Ataques sofisticados que envolvem injeção digital, trocas de rostoe IA generativa dispararam. Mas o setor atualmente não tem padrões para certificar a capacidade de uma solução de detectar e se defender contra ataques de injeção digital ou manipulação de metadados, deixando um vácuo que os agentes de ameaças estão ansiosos para preencher. É importante certificar as defesas contra o que já conhecemos e entendemos, mas os fornecedores de biometria também precisam observar e entender as ameaças novas e em evolução, como os ataques de injeção em tempo real, e ser capazes de implementar defesas contra elas o mais rápido possível.

Analista líder Gartner recomenda que as empresas a escolherem um fornecedor que adote uma abordagem proativa em relação à segurança, depois de anunciar que "30% das empresas considerarão as soluções de verificação e autenticação de identidade não confiáveis isoladamente devido a falsificações profundas geradas por IA até 2026". Isso destaca a necessidade de os fornecedores de biometria lidarem proativamente com ameaças novas e em evolução, em vez de dependerem apenas de testes contra vetores de ataque conhecidos.

Como o iProov vai "além" do teste de conformidade?

Dada a natureza transformadora da IA generativa e a escalabilidade dos ataques de injeção digital, é imperativo que a segurança biométrica seja ativamente gerenciada 24 horas por dia, 7 dias por semana. Centro de Operações de Segurança iProov (iSOC) para detectar padrões de ataque em várias regiões geográficas, dispositivos e plataformas.

Isso permite que o iProov monitore os métodos, as fontes e os padrões dos invasores e se adapte constantemente a eles. Você pode ler mais sobre isso em nosso relatório de inteligência sobre ameaças biométricas de 2024.

Ao complementar o software com análise científica e conhecimento humano, o iProov oferece uma tecnologia líder mundial em liveness que não apenas impede as ameaças de hoje, mas também reduz as de amanhã. Saiba mais sobre nossa abordagem evolutiva e adaptável à segurança aqui.

Considerações finais

Como evidenciado por nossa variedade de certificações e conquistas, a busca da iProov por padrões líderes do setor vai além do "suficientemente bom". Ao definir novos padrões do setor, como o fato de ser o primeiro fornecedor de biometria do mundo a atingir a conformidade com WCAG 2.2 AA e eIDAS Level of Assurance High, a iProov eleva o nível da segurança biométrica.

À medida que continuamos a navegar nesse cenário dinâmico da segurança cibernética biométrica, a iProov continua dedicada a se manter à frente das ameaças emergentes e a fornecer consistentemente uma tecnologia de ponta em liveness. Para aqueles que estão avaliando fornecedores de biometria, nossas certificações e medidas de segurança adaptáveis demonstram a capacidade da iProov de atender às necessidades existentes e em evolução.

• Para obter mais informações, consulte nosso Repositório de Conformidade.
• Inscreva-se para uma demonstração ao vivo e personalizada de como a tecnologia iProov pode ajudá-lo.