本标准规定了金融业使用生物特征识别机制鉴别人员身份的安全框架,介绍了生物特征识别技术的类型,阐述了有关应用问题。本标准也描述了实现架构,详细规定了有效管理的最小安全要求,也为专业人员提供了控制目标和使用建议。 本标准包括: 使用生物特征识别技术,通过验证其声称的身份或识别其个体身份,对参与金融服务的人员和雇员身份进行鉴别; 根据风险管理的要求,对用户登记时提交的凭证进行确认,以支持身份鉴别; 在整个生命周期内,包括登记、传输、存储、身份确认、身份识别以及终止等过程,对生物特征信息进行管理; 生物特征识别信息在其生命周期内的安全性,包括数据完整性、源鉴别和机密性; 生物特征识别机制在逻辑和物理访问控制中的应用; 保护金融机构及其客户的监控措施; 在整个生物特征识别信息生命周期中所使用的物理硬件的安全性。 本标准不包括: 个体生物特征识别信息的隐私权和所有权; 有关数据采集、信号处理与生物特征数据匹配、以及生物特征匹配决策流程等方面的具体技术; 生物特征识别技术在非鉴别方面的便利性应用,如语音识别、用户交互和匿名访问控制等方面的使用。 本标准适用于由于数据机密性或其他原因而对生物特征信息进行加密的强制方式。
