Правила описывают порядок биометрической проверки и случаи, когда банки обязаны использовать Национальную систему биометрической аутентификации. Они также должны передавать данные через Центр обмена идентификационными данными Национального банка.
Проверка проходит по фотографии лица. Система делает снимок, сравнивает его с эталонным изображением из государственной базы и выносит решение о прохождении аутентификации.
Чтобы исключить подмену с помощью фото или видео, вводится проверка «живости». Пользователь получает не менее трёх случайных сигналов или команд, а система анализирует их выполнение в видеопотоке. После трёх неудачных попыток проверка считается не пройденной.
Программное обеспечение для аутентификации должно контролировать собственную целостность, обнаруживать запуск в эмулируемой среде и защищать процесс от подмены камеры устройства.
По итогам каждой проверки формируется электронный документ с результатом, ИИН пользователя, сведениями о выполненных командах, датой и временем процедуры, а также реквизитами заказчика и провайдера. Документ подписывается электронной цифровой подписью провайдера и хранится у заказчика.
Правила также устанавливают требования к защите биометрических данных: сбор и хранение должны вестись в установленном порядке, данные защищаются от несанкционированного доступа, а все процессы документируются.