Con el objetivo de incorporar formalmente la biometría facial y robustecer los controles de seguridad en la creación y uso de bases de datos biométricas, la Comisión Nacional Bancaria y de Valores (CNBV) autorizó el uso de esta tecnología en operaciones presenciales.
En una resolución publicada en el Diario Oficial de la Federación (DOF), se indicó que al igual que con las huellas, la información facial capturada en el banco deberá coincidir al menos en un 90 por ciento con los registros de las autoridades federales.
Los bancos tendrán la obligación de capturar primero los datos biométricos de sus propios empleados, directivos y funcionarios que operarán el sistema; una vez concluido este proceso, se podrán empezar a registrar a los clientes.
El regulador indicó que las bases de datos biométricas deben estar aisladas del resto de los sistemas del banco y correr en segmentos independientes de red, con tráfico altamente restringido.
Por lo que será obligatorio para las instituciones de banca múltiple del país realizar un cifrado de la información tanto cuando esté almacenada como cuando sea transmitida, con previo aviso a la CNBV.
“Ambos mecanismos deberán incluir controles específicos para aquellos usuarios de la infraestructura tecnológica con mayores privilegios, derivados de sus funciones, tales como las de administración de bases de datos y de sistemas operativos, incluyendo registros de auditoría sobre todos los accesos”, se detalló en la resolución.
Controles de seguridad y resguardo
Los bancos podrán sustituir la verificación individual en línea de cada trámite si conforman su propia base de datos biométricos de clientes; para hacerlo, deben cumplir con ciertos criterios:
- Verificación de Origen: Para meter a un cliente a la base de datos, primero se debe validar su biometría en línea contra el Instituto Nacional Electoral (INE) o dependencias federales; el banco debe guardar evidencia documental de este resguardo.
- Prohibición Absoluta de Compartir: Queda estrictamente prohibido vender, transferir, enajenar o compartir las bases de datos biométricas entre bancos o con terceros. Las consultas deben hacerse exclusivamente contra la base conformada por cada institución.
- Validación Anual: Las instituciones deberán realizar una auditoría y validación anual de sus mecanismos de seguridad tecnológica y reportar cualquier desviación a la CNBV en un plazo de 20 días hábiles.
- Destrucción de Datos: Si el banco decide dejar de usar esta base de datos, debe avisar a la CNBV y aplicar procedimientos de borrado seguro que impidan la recuperación o tratamiento no autorizado de los datos.
DCP