RESOLUÇÃO Nº, DE ... DE ...... DE 2024
Institui o Serviço Biométrico Federal para identificar e verificar biometricamente os requerentes da Carteira de Identidade Nacional–CIN.
O COORDENADOR DA CÂMARA-EXECUTIVA FEDERAL DE IDENTIFICAÇÃO DO CIDADÃO - CEFIC, no uso das atribuições que lhe confere o art. 6º, §1º, inc. IV, do Regimento Interno da CEFIC, aprovado pela Resolução nº 10, de 6 de abril de 2023, torna público que a CÂMARA-EXECUTIVA FEDERAL DE IDENTIFICAÇÃO DO CIDADÃO, no exercício das competências previstas no art. 10 do Decreto nº 11.797, de 27 de novembro de 2023, em reunião ordinária realizada em ... de ...... de 2024, resolve:
Art. 1º Fica instituído o Serviço Biométrico Federal para identificar e verificar biometricamente os requerentes da Carteira de Identidade Nacional – CIN.
Parágrafo único. O Serviço Biométrico Federal deverá atender às especificações técnicas constantes do Anexo.
Art. 2º Os órgãos de identificação dos Estados e do Distrito Federal e os órgãos executores do Serviço de Identificação do Cidadão – SIC devem utilizar o Serviço Biométrico Federal para o compartilhamento de dados biográficos e biométricos de identificação civil, de acordo com o Modelo Informacional e com o fluxo de emissão da CIN, da Câmara-Executiva Federal de Identificação do Cidadão – CEFIC.
§1º O compartilhamento de dados de que trata o caput deverá observar o disposto no art. 7º do Decreto nº 11.797, de 27 de novembro de 2023.
§2º O Serviço Biométrico Federal contará com uma interface de programação de aplicação para compartilhamento dos dados biográficos e biométricos, de acordo com o Modelo Informacional e o fluxo de emissão da CIN.
§3º Os dados da impressão digital e da face com baixa qualidade serão devidamente identificadas pelo número de inscrição no Cadastro de Pessoas Físicas – CPF para os órgãos de identificação dos Estados e do Distrito Federal para as verificações subsequentes da impressão digital e da face.
§4º Ato da CEFIC irá dispor acerca da verificação do controle de fluxo dos dados biográficos e biométricos compartilhados.
Art. 3º O Serviço Biométrico Federal terá os dados biométricos e biográficos individualizados, unificados e indexados, no mínimo, pelo CPF dos requerentes da CIN e estarão sincronizados com os serviços da Infraestrutura Pública Digital de Identificação Civil.
Parágrafo único. O requerente da CIN será submetido ao processo de identificação da impressão digital e, na hipótese de haver resultados semelhantes, será realizada a comparação das faces.
Art. 4º O Serviço Biométrico Federal deverá realizar consultas biométricas dos requerentes da CIN, por meio de uma interface de programação de aplicação, com outras bases biométricas aprovadas e em acordo com o fluxo estabelecido pela CEFIC.
Parágrafo único. Para consulta e resposta às bases biométricas de que trata o caput, será utilizado, no mínimo, o indexador do CPF e as impressões digitais do requerente da CIN.
Art. 5º Os resultados biométricos das identificações e verificações para cada requerente da CIN serão consolidados no Serviço Biométrico Federal.
Parágrafo único. Os resultados com divergência para cada CPF em apuração deverão ser informados aos órgãos de identificação dos Estados e do Distrito Federal e aos órgãos executores do SIC.
Art. 6º O plano de implantação do Serviço Biométrico Federal será instituído pela CEFIC no prazo de sessenta dias, contado da data de entrada em vigor desta Resolução, e executado até 30 de abril de 2025.
Art. 7º À Secretaria-Executiva da CEFIC compete:
I - apoiar tecnicamente e monitorar a execução do plano de implantação do Serviço Biométrico Federal;
II – atuar no processo de integração das outras bases biométricas; e
III - monitorar e avaliar o Serviço Biométrico Federal.
Art. 8º Esta Resolução entra em vigor na data da sua publicação.
PEDRO HELENA PONTUAL MACHADO
ANEXO
ESPECIFICAÇÕES TÉCNICAS DO SERVIÇO BIOMÉTRICO FEDERAL
Motor Biométrico
1. O Serviço Biométrico Federal contará com motor biométrico capaz de realizar identificações 1:n (um registro biométrico comparado com todos os registros biométricos armazenados) e verificações 1:1 (um registro biométrico comparado com um registro biométrico armazenado) do mesmo registro previamente cadastrado.
1.1. A solução do motor biométrico deverá observar, no mínimo, os seguintes requisitos:
1.1.1. Padrões Técnicos Biométricos:
1.1.1.1 Os dados da impressão digital devem atender aos padrões NIST Fingerprint Image Quality (NFIQ) 2, de acordo com a ISO/IEC 29794-4;
1.1.1.2. Os dados da face serão submetidos ao padrão estabelecido pelo Documento 9303, da International Civil Aviation Organization (ICAO), de acordo com a ISO/IEC 29794- 5; e
1.1.1.3. O algoritmo do motor biométrico deverá seguir os padrões e testes mais recentes do NIST, especificamente o Face Recognition Technology Evaluation (FRTE) 1:N para face e o MINEX III para impressões digitais; e
1.1.2. Acurácia:
1.1.2.1. o resultado da FNIR (False Negative Identification Rate) a um FPIR (False Positive Identification Rate) fixo de 0,001 deve ser 0,03 ou menos para o teste de Classe A de “Left Index” ou “Right Index”, realizado sobre um tamanho de banco de dados de 100.000, verificável no relatório final do teste de FpVTE (Fingerprint Vendor Technology Evaluation) (NIST.IR.8034) ou posterior, MINEX III (verificável em www.nist.gov/itl/iad/image-group/minex-iii-compliant-submissions>).
1.1.2.2. o resultado da FNIR a um FPIR fixo de 0,001 deve ser 0,0033 ou menos para o teste “Identification Flats” Classe B, realizado sobre um tamanho de banco de dados de 3.000.000, verificável no relatório final do teste FpVTE (NIST.IR.8034) ou posterior, MINEX III (verificável em www.nist.gov/itl/iad/image-group/minex-iii-compliant-submissions>).
1.1.2.3. o resultado da FNIR a um FPIR fixo de 0,001 deve ser 0,0095 ou menos para o teste “Ten-Finger Plain-to-Plain ” Classe C, realizado sobre um tamanho de banco de dados de 5.000.000, verificável no relatório final do teste FpVTE (NIST.IR.8034) ou posterior, MINEX III (verificável em www.nist.gov/itl/iad/image-group/minex-iii-compliant-submissions>).
1.1.2.4. o resultado da FNIR a um FPIR fixo de 0,001 deve ser 0,0085 ou menos para o teste "Immigration visa-border", realizado sobre um tamanho de banco de dados de 1.600.000 assuntos para qualquer um de seus envios de algoritmos, verificável nos relatórios FRVT (Face Recognition Vendor Test) 1:N Identification () e FRTE 1:1 Identification ().
1.1.2.5. A solução do motor biométrico deve ser submetida, rotineiramente, aos seguintes testes de acurácia:
1.1.2.5.1. PFTIII: https://www.nist.gov/itl/iad/image-group/evaluation-latent-friction-ridge-technology;
1.1.2.5.2. FpVTE: https://www.nist.gov/itl/iad/image-group/fpvte-2012;
1.1.2.5.3. MINEX III: https://www.nist.gov/itl/iad/image-group/minutiae-interoperability-exchange-minex-iii; e
1.1.2.6. Os testes de acurácia devem estar acompanhados de um Plano de Teste capaz de demonstrar que foram executados em uma base total de pelo menos 100.000 (cem mil) pessoas no comparador biométrico, e acompanhado do Relatório de Resultados que comprove que a acurácia mínima do sistema, nas pesquisas é igual ou superior a 68% (imagens mais recursos estendidos marcados manualmente - image + Extended Feature Sets).
Serviço de prova de vivacidade facial
2. O Serviço de Biometria Federal poderá prover serviço de prova de vivacidade facial (facial liveness detection).
2.1. O processo de vivacidade (liveness) tem como objetivo garantir que a característica biométrica capturada é proveniente de um ser humano vivo e não de uma falsificação ou apresentação de uma característica biométrica artificial e deve observar, no mínimo, os seguintes requisitos abaixo:
2.1.1. para transações de baixo risco: Face liveness passivo, em conformidade com padrão ISO 30107-3 Level 1, apto para receber a certificação iBeta Level 1;
2.1.2 para transações de médio a alto risco: Face liveness passivo em conformidade com os padrões ISO 30107-3 Level 1, ISO 30107-3 Level 2, apto para receber a certificação iBeta Level 1 e 2;
Parágrafo único. A Secretaria-Executiva da CEFIC regulamentará os tipos de transações de baixo, médio e alto risco, em conformidade com a Infraestrutura Pública Digital de Identificação Civil.
3. O Serviço Biométrico Federal deverá contar, no mínimo, com os seguintes requisitos de infraestrutura e de solução tecnológica:
3.1. estar hospedado em território nacional;
3.2. ter, preferencialmente, mais de um fornecedor dos algoritmos do motor biométrico, integrados por meio de um sistema que permita a interoperabilidade entre diferentes tecnologias;
3.3. possuir, no mínimo, dois sítios operacionais em diferentes localizações, com capacidade de resiliência operacional e certificação Tier III;
3.4. implementar um Disaster Recovery Layer –DRL de contingência aos sítios;
3.5. implementar sistema de gestão da segurança da informação e privacidade associado aos serviços de operação, manutenção e monitoramento da solução, devidamente certificado, englobando monitoramento de todos os componentes do sistema, sua infraestrutura, bem como auditoria de segurança, gerenciamento de incidentes, inclusive testes de intrusão periódicos, após disponibilização integral da solução, em até doze meses, contados da publicação desse ato, conforme a ISO/IEC 27001 e a ISO/IEC 27701;
3.6. possuir um console, com acesso seguro e limitado para apuração dos CPF e dos resultados dos requerentes da CIN;
3.7. ter os dados armazenados de forma segura, com processos criptográficos reconhecidos e aprovados internacionalmente;
3.8. possuir planos de auditoria, testes, continuidade do negócio e recuperação de desastres, com testes regulares e simulações de falhas no mínimo anuais;
3.9. implantar um sistema de gestão e monitoramento do Serviço Biométrico Federal, com capacidade de monitoramento 24/7, inclusive com testes e auditoria de segurança periódicos de todo o sistema.
3.10. ter um serviço de suporte integral para o Serviço Biométrico Federal;
3.11. gerar relatórios de gestão de segurança periódicos ou sob demanda da Secretaria-Executiva da Cefic, contemplando, dentre outros, indicadores de monitoramento e eficácia dos controles implementados (logs de eventos, vulnerabilidades e revisão de acessões e permissões), conformidade legal e regulamentar, privacidade, relatório de incidentes de segurança, indicadores de desempenho da solução, gestão de riscos e de auditoria interna;
3.12. arquivar os relatórios de gestão de segurança por um período mínimo de cinco anos;
3.13. contar com medidas de segurança física rigorosas, como controle de acesso biométrico, vigilância 24/7 com gravação contínua, e sistemas redundantes de energia (geradores, UPS) e refrigeração, garantindo um ambiente seguro e protegido contra acessos não autorizados e falhas técnicas;
3.14. implementar, quando aplicável, técnicas de anonimização ou pseudo-anonimazação para proteger os dados biométricos durante o armazenamento;
3.15.no prazo transitório até as certificações listadas no item 3.5, deve manter sistemas de backup e redundância que asseguram a disponibilidade e a integridade dos dados biométricos em caso de falhas do sistema ou desastres;
3.16. garantir a segmentação em múltiplos níveis de acesso físico de acordo com a criticidade dos ativos e sistemas presentes em cada área, observando as premissas de detecção, atraso e resposta; e
3.17. assegurar o acesso a cada nível apenas ao pessoal autorizado, com mecanismos robustos de controle e monitoramento.
Contribuições
Adicione sua contribuição:
Entre com sua conta ou inscreva-se para adicionar sua contribuição.
Contribuições recebidas
7 contribuições
Carregando contribuições ...
Carregando contribuições ...