9 de março de 2024
No atual panorama digital, a verificação remota da identidade tornou-se crucial para garantir a segurança e a confiança. A verificação biométrica facial surgiu como um dos métodos mais seguros e fiáveis. No entanto, as organizações necessitam de um nível de confiança de que estão a escolher uma solução comprovada.
Os testes de conformidade desempenham um papel vital na garantia da eficácia e integridade dos sistemas biométricos. Pode fornecer uma referência para a exatidão, capacidade e interoperabilidade - o que incute confiança, melhora o desempenho do sistema e reduz o risco de fraude ou acesso não autorizado.
A iProov, pioneira no sector da verificação da identidade biométrica, envidou esforços consideráveis para tornar o seu conjunto de soluções biométricas num dos mais acreditados, exaustivamente testados e robustos do mundo.
Em primeiro lugar, analisaremos as actuais certificações do quadro de testes de conformidade do iProov e, em seguida, consideraremos como a segurança biométrica deve ir para além esses quadros existentes.
Realizações de conformidade do iProov
A iProov obteve as seguintes certificações e acreditações, demonstrando o compromisso com os padrões e as melhores práticas líderes do sector.
Certificação da Aliança FIDO
O iProov Dynamic Liveness® é a primeira solução do mundo com certificação FIDO para verificação remota da face, acreditada pela Ingenium Biometrics. Esta certificação representa um marco significativo no domínio da verificação biométrica da identidade.
O que é que se passa?
A Certificação de Verificação Facial FIDO é o programa de avaliação mais rigoroso que avalia a fiabilidade, a facilidade de utilização e a segurança dos sistemas de verificação de identidade remota.
O que é que isso significa?
- O Dynamic Liveness foi submetido a uma avaliação exaustiva das suas capacidades de correspondência facial e de deteção de vivacidade, em conformidade com as normas ISO 19795 e ISO 30107.
- A tecnologia conseguiu impedir com êxito todos os tipos de ataques de apresentação, incluindo fotografias, máscaras, transformações faciais, vídeos e deepfakes apresentados.
- Esta certificação confirma a robustez da solução, afirmando a sua defesa sem paralelo contra ameaças em evolução ao longo de todo o ciclo de vida da identidade.
- Estabelece um padrão de qualidade e destaca a capacidade do iProov para proteger os consumidores contra ataques de apresentação e deepfakes apresentados.
ISO/IEC 27001:2013
A ISO é uma norma que procura assegurar que as organizações possuem sistemas de gestão de segurança da informação adequados e apropriados. Proporciona credibilidade ao facto de uma organização estar a proteger os dados dos clientes e a levar a segurança dos dados a sério.
- As frequentes auditorias voluntárias efectuadas pelo British Assessment Bureau reforçam o empenho da iProov na proteção dos dados dos clientes.
- O nosso número de certificado ISO é 231387 e pode ser verificado aqui.
SOC 2 Tipo II
A SOC 2 é uma norma reconhecida internacionalmente que verifica a eficácia dos controlos que gerem os dados dos clientes num ambiente alojado na nuvem.
- Esta certificação garante que o sistema da iProov foi concebido com controlos organizacionais adequados para proteger informações sensíveis.
- A Linford & Co efectua auditorias anuais, garantindo o compromisso contínuo do iProov com a confidencialidade e privacidade dos dados.
- Saiba mais sobre o iProov e o SOC 2 Tipo II aqui
Directrizes de Acessibilidade para o Conteúdo da Web (WCAG) 2.2 AA
As Directrizes de Acessibilidade ao Conteúdo da Web (WCAG) são um padrão de melhores práticas de acessibilidade reconhecido internacionalmente para experiências digitais. Todos os produtos biométricos faciais da iProov estão em conformidade com as WCAG 2.2 AA, demonstrando o design centrado no utilizador da iProov, enfatizando a inclusão e a acessibilidade.
- A iProov é o primeiro fornecedor biométrico do mundo a estar em conformidade, o que reflecte a nossa dedicação à definição de normas industriais.
- Os testes de conformidade foram efectuados por peritos externos em acessibilidade TetraLogicalmembro do W3C e contribuinte para as normas, incluindo as WCAG.
- Saiba mais sobre as WCAG 2.2 e a importância dos "testes de funções não cognitivas" aqui
Regulamento eIDAS europeu para um nível de serviço de confiança qualificado e um nível de garantia de identidade eletrónica elevado
As soluções iProov estão em conformidade com a norma EN 319-401, certificada por auditores independentes, incluindo a TÜV Austria e a Ernst & Young, para conformidade com a cláusula 24 1(d) do eIDAS. Além disso, é certificado modularmente como estando em conformidade com os regulamentos eIDAS para o fornecimento de serviços de verificação e autenticação biométrica, ETSI EN 319 411-1 e ETSI EN 319 411-2.
Os níveis de garantia eIDAS referem-se ao "grau de confiança na identidade reivindicada de uma pessoa". A conformidade com o LoA High proporciona confiança no rigor e na força da solução.
- A conformidade do iProov com os regulamentos eIDAS permite que o iProov forneça serviços de integração e autenticação a Prestadores de Serviços de Confiança Qualificados (QTSPs) em toda a União Europeia (UE) sem a necessidade de auditorias de integração complicadas.
- O iProov é o primeiro a atingir a conformidade LoA High, estabelecendo o padrão internacional de segurança.
- Saiba mais sobre a importância da associação do eIDAS e do iProov aqui.
Quadro de confiança da identidade digital e dos atributos do Reino Unido (DIATF)
- A iProov é um fornecedor de serviços de identidade digital (IDSP) certificado, tendo sido submetido a uma rigorosa avaliação independente.
- As auditorias anuais efectuadas pelo EY British Assessment Bureau atestam a adesão da iProov aos mais elevados padrões de tecnologia, segurança e processos.
iBeta ISO/IEC 30107-3 e ISO 9001-2015
O iProov está em conformidade com os requisitos relevantes das normas ISO/IEC 19795-1:2006 e ISO/IEC 30107-3:2017.
- As nossas metodologias para testar a apresentação da deteção de ataques estão suficientemente em conformidade com as normas ISO - auditadas tanto pela iBeta como pelo Laboratório Físico Nacional (NPL) do Reino Unido.
- O iProov também está em conformidade com a norma ISO 9001:2015, auditada pelo British Assessment Bureau, garantindo práticas de teste abrangentes.
Certificação CSA Star
A certificação CSA Star Attestation é o "programa mais poderoso da indústria para garantia de segurança na nuvem".
- As auditorias anuais efectuadas pela EY asseguram que os funcionários da iProov são profissionalmente desenvolvidos para obterem competências de segurança na nuvem.
Programa australiano IRAP (Information Security Registered Assessor Program)
- O iProov está em conformidade com IRAP em conformidade com as políticas e normas da Australian Signals Directorate (ASD).
- As auditorias anuais efectuadas pela Foresight estabelecem a conformidade contínua do iProov com as normas de elevada segurança definidas pelo governo australiano.
O iProov também foi exaustivamente testado fora dos padrões de conformidade: O Departamento de Segurança Interna utilizou técnicas de ponta para falsificar o iProov, mas não teve êxito. O iProov também foi verificado pelos governos do Reino Unido, de Singapura e da Austrália como parte da sua Diligência devida nacional.
Na sua essência, estas conquistas significam a dedicação do iProov aos padrões líderes da indústria, enfatizando a eficácia das nossas soluções biométricas e o nosso compromisso com a acessibilidade do utilizador, a segurança dos dados e a conformidade regulamentar global.
Visite o nosso Repositório de Conformidade para saber mais.
Qual é a diferença entre os testes de conformidade e os testes de conformidade?
O teste de conformidade é voluntário, enquanto a conformidade com os regulamentos é um requisito legal. Por exemplo, todas as entidades que processam dados na UE devem estar em conformidade com o GDPR por lei. Consequentemente, a iProov está em conformidade com a Lei de Proteção de Dados do Reino Unido e o RGPD da UE. Os testes de conformidade, no entanto, não são um requisito legal - as organizações optam por estar em conformidade com normas como ISO, WCAG, eIDAS e iBeta por sua própria vontade.
Se estiver a a avaliar fornecedores biométricosexaminar as normas que esses fornecedores cumprem deve ser um passo importante na seleção do fornecedor certo. A conformidade com uma variedade de normas indica que um determinado fornecedor biométrico foi testado por terceiros e pode identificar se o fornecedor está equipado para satisfazer as suas necessidades.
Limitações dos actuais ensaios de conformidade para soluções biométricas
Os testes de conformidade são adequados para demonstrar a adesão a objectivos relativamente estáveis, como a facilidade de utilização e a acessibilidade de uma tecnologia.
Mas quando se trata de cibersegurança biométrica, o cenário de ameaças é tudo menos estático. A avaliação das normas ISO/IEC para a deteção de ataques de apresentação (PAD) é um dos testes mais comuns efectuados por laboratórios certificados e independentes. Mas no atual cenário de ameaças, isto não é suficiente.
Ataques sofisticados que envolvem injeção digital, trocas de rostoe IA generativa dispararam. Mas a indústria não tem atualmente normas para certificar a capacidade de uma solução para detetar e defender contra ataques de injeção digital ou manipulação de metadados - deixando um vazio que os agentes de ameaças estão ansiosos por preencher. É importante certificar as defesas contra o que já sabemos e compreendemos, mas os fornecedores de biometria também precisam de observar e compreender ameaças novas e em evolução, como os ataques de injeção, em tempo real - e ser capazes de implementar defesas contra elas o mais rapidamente possível.
Analista líder Gartner insta as empresas a escolher um fornecedor que adote uma abordagem proativa à segurança, depois de anunciar que "30% das empresas considerarão as soluções de verificação e autenticação de identidade não confiáveis em isolamento devido a falsificações profundas geradas por IA até 2026". Isto realça a necessidade de os fornecedores biométricos abordarem proactivamente ameaças novas e em evolução, em vez de se basearem apenas em testes contra vectores de ataque conhecidos.
Como é que o iProov vai "além" dos testes de conformidade?
Dada a natureza transformadora da IA generativa e a escalabilidade dos ataques de injeção digital, é imperativo que a segurança biométrica seja ativamente gerida 24 horas por dia, 7 dias por semana. Centro de Operações de Segurança iProov (iSOC) para detetar padrões de ataque em várias geografias, dispositivos e plataformas.
Isto permite ao iProov monitorizar os métodos, fontes e padrões dos atacantes - e adaptar-se constantemente a eles. Pode ler mais sobre este assunto no nosso relatório de inteligência sobre ameaças biométricas de 2024.
Ao complementar o software com análises científicas e conhecimentos humanos, a iProov fornece uma tecnologia líder mundial de liveness que não só detém as ameaças actuais, como também atenua as futuras. Saiba mais sobre a nossa abordagem evolutiva e adaptável à segurança aqui.
Reflexões finais
Como evidenciado através do nosso conjunto de certificações e realizações, a busca da iProov por padrões líderes do sector vai além do "suficientemente bom". Ao definir novos padrões da indústria, como ser o primeiro fornecedor biométrico do mundo a alcançar a conformidade WCAG 2.2 AA e eIDAS Level of Assurance High, o iProov eleva a fasquia da segurança biométrica.
À medida que continuamos a navegar neste cenário dinâmico da cibersegurança biométrica, o iProov continua a dedicar-se a manter-se à frente das ameaças emergentes e a fornecer consistentemente uma tecnologia de ponta a nível mundial. Para aqueles que estão a avaliar os fornecedores de biometria, as nossas certificações e medidas de segurança adaptáveis demonstram a capacidade da iProov para satisfazer as necessidades existentes e em evolução.
- Para mais informações, consulte o nosso Repositório de Conformidade.
- Inscreva-se para uma demonstração ao vivo e personalizada da forma como a tecnologia iProov o pode apoiar.