Auditarea soluțiilor de identificare video la distanță

Activitatea de identificare a persoanei la distanţă prin mijloace video de către furnizori de servicii de identificare a persoanei la distanţă prin mijloace video, înregistraţi în România, se poate efectua numai după obţinerea avizului emis de către Autoritatea pentru Digitalizarea României.

Normele privind reglementarea, recunoașterea, aprobarea sau acceptarea procedurii de identificare a persoanei la distanță utilizând mijloace video au fost aprobate prin Decizia președintelui ADR nr. 564/2021, publicate în Monitorul Oficial al României cu numărul 1119 din data de 24 noiembrie 2021.

Sistemul informatic pentru identificarea persoanei la distanță prin mijloace video reprezintă ansamblul de elemente implicate în procesul de identificare a persoanei la distanţă prin mijloace video, prin care se transmit datele, imaginile capturate/încărcate şi/sau informaţiile comunicate de persoana fizică.

Activitatea de identificare a persoanei la distanţă utilizând mijloace video trebui să aibă la bază o analiză de risc. Analiza de risc trebuie să acopere în special riscurile legate de prezentarea documentelor de identitate falsificate, a canalelor de comunicare, precum şi riscurile privind conservarea incorectă a probelor.

Furnizorul de servicii de identificare a persoanei la distanţă utilizând mijloace video trebuie să implementeze cerinţele tehnice şi de securitate care permit verificarea autenticităţii, validităţii şi integrităţii documentelor de identitate utilizate în procesul de identificare video, în concordanţă cu standardele în domeniu.

Cerinţele tehnice şi organizatorice în procesul de identificare a persoanei la distanţă utilizând mijloace video sunt următoarele:

• identificarea persoanei la distanţă prin mijloace video trebuie efectuată în timp real, într-o sesiune unică şi fără întreruperi/pauze, în cazul unei videoconferinţe care necesită operator uman, sau prin mijloace video ce vor fi verificate ulterior, în termen de maximum 24 de ore de la momentul înregistrării video, atât timp cât se respectă toate celelalte prevederi din prezentele norme;
• integritatea şi confidenţialitatea comunicării trebuie asigurată în mod corespunzător prin utilizarea unui canal criptat;
• înregistrarea trebuie să prevadă în mod clar data şi ora, fie în cuprinsul acesteia, fie în metadate;
• calitatea comunicării trebuie să fie adecvată pentru a permite identificarea clară a caracteristicilor şi elementelor de securitate ale documentului de identitate;
• sistemul trebuie să recunoască şi să verifice cel puţin două elemente de securitate din categorii diferite ale documentului de identitate, specificate în Registrul public online al documentelor autentice de identitate şi de călătorie - PRADO;
• furnizorul de servicii de identificare trebuie să implementeze procedurile care stau la baza proceselor de identificare a persoanei la distanţă utilizând mijloace video;
• furnizorul de servicii de identificare trebuie să pună la dispoziţia publicului lista completă a documentelor de identificare acceptate în scopurile prevăzute de prezentele norme.

Pe parcursul procesului de identificare a persoanei la distanţă utilizând mijloace video este obligatoriu să se utilizeze un factor de autentificare suplimentar, prin transmiterea către persoana care parcurge procedura de identificare a persoanei la distanţă utilizând mijloace video a unui cod de unică folosinţă (One Time Password - OTP) sau prin transmiterea unui link cu o durată limitată, special creat în acest scop, generat în mod individual (prin e-mail sau SMS).

Întregul proces de identificare a persoanei la distanţă utilizând mijloace video, în toate etapele sale, trebuie să fie înregistrat şi păstrat.

Auditarea sistemelor informatice pentru identificarea persoanei la distanță prin mijloace video verifică conformitatea cu cerinţele prevăzute în prezentele norme, de către personalul nostru certificat și autorizat de Autoritatea pentru Digitalizarea României (www.adr.gov.ro).