La empresa de Hesse iCOGNIZE está solicitando una patente para su nuevo método de plantilla dividida para proteger los datos biométricos. Con el nuevo procedimiento, los datos biométricos se dividen inmediatamente después de haber sido registrados para hacerlos irreconocibles.
Dado que los datos biométricos contienen la descripción matemática de ciertas propiedades de las características del cuerpo, como las huellas dactilares, el iris o los rasgos faciales y los patrones de las venas, se consideran muy críticos y deben protegerse de manera especial, no solo para evitar violaciones de datos, sino sobre todo para evitar que los conjuntos completos de datos biométricos no puedan ser robados durante los ataques cibernéticos.
Más protección para los datos biométricos
El procedimiento se puede usar en cualquier lugar donde los datos confidenciales deban protegerse de manera más efectiva, incluso fuera de los sistemas biométricos. Por ejemplo, los tokens con una plantilla dividida se pueden proteger aún mejor contra el acceso no autorizado. Para clarificar el proceso y las ventajas del método de plantilla dividida, es necesario una mirada detallada a los métodos anteriores:
Posibles brechas de seguridad en los controles de acceso biométricos
En el caso de los controles de acceso biométricos en áreas de alta seguridad, las propiedades biométricas, como huellas dactilares, venas o características del iris, se registran mediante un sistema de sensor correspondiente y se comparan con las características biométricas almacenadas en el sistema. Si hay suficiente similitud, se asume una llamada "coincidencia". Porque los datos biométricos utilizados para la comparación pertenecen a la persona que presentó la característica biométrica correspondiente. Dado que el sistema sabe qué persona creó previamente el conjunto de datos biométricos que se utiliza para la comparación, la persona se identifica con esto.
Los ciberdelincuentes pueden robar o manipular estos datos biométricos. Si, por ejemplo, se publican datos de huellas dactilares en Internet, cualquier persona con los conocimientos pertinentes puede crear un maniquí para el llamado "ataque de presentación" y así engañar a los sistemas de seguridad biométricos.
Solo hay un dato de huella dactilar
Para la persona a la que pertenecen los datos de la huella digital, esto significa que su huella digital nunca podrá volver a utilizarse en el sistema biométrico. Dado que la característica biométrica ahora se conoce en su forma pura, se puede crear una réplica en cualquier momento. Además, las huellas dactilares digitales son datos personales sensibles que deben estar especialmente protegidos según el RGPD de la UE.
También pueden estar completamente exentos de almacenamiento permanente. Por este motivo, la protección de datos prohíbe el almacenamiento centralizado de datos biométricos sensibles. Esto, a su vez, puede llevar a que no se permita el uso de sistemas biométricos en diversas aplicaciones.
Dificultades de las soluciones anteriores
Ya existe una forma posible de eludir el problema anterior: los datos biométricos se almacenan para su posterior comparación en servidores que pertenecen a una infraestructura de TI altamente segura y no vulnerable. Este método funciona bastante bien en la práctica. Sin embargo, debido a los procesos de TI cada vez más complejos, cada vez es más difícil y costoso mantener una infraestructura tan segura. Además, y como ya se ha mencionado anteriormente, el almacenamiento centralizado de datos personales, como los datos biométricos, es un problema fundamental en la protección de datos.
¿Es el almacenamiento de datos móviles una alternativa compatible con el RGPD?
Para actuar en el sentido del RGPD, los datos biométricos solo pueden almacenarse en medios móviles como tarjetas RFID o dispositivos móviles. De esta forma, los usuarios pueden acceder en cualquier momento a sus datos personales y, en su caso, eliminarlos.
Los datos se registran sosteniendo la tarjeta o el dispositivo móvil frente a un lector apropiado. El sistema ahora compara los datos y luego elimina inmediatamente los datos utilizados. Los datos biométricos solo están en el sistema en el momento del uso y no se almacenan allí de forma persistente. Para cumplir con el RGPD de la UE con este método, también se deben cumplir los requisitos del RGPD (artículo 9):
¿Qué hace que el método de plantilla dividida sea mejor?
El método de plantilla dividida toma lo mejor de los métodos descritos anteriormente y toma medidas adicionales para difuminar los datos biométricos mientras resuelve problemas con el RGPD de la UE:
- Primero, los bloques de datos críticos se dividen en dos o más partes de datos.
- A continuación, las piezas individuales se almacenan en diferentes medios y/o en diferentes ubicaciones.
- Las ubicaciones de almacenamiento pueden ser soportes de datos como la tarjeta RFID Y el servidor dentro de la infraestructura de TI.
Como resultado de la división, los datos biométricos registrados ya no son datos personales en el sentido del RGPD de la UE. Porque los datos divididos ya no se pueden usar para su propósito real, ya que no se pueden sacar conclusiones sobre el conjunto de datos real. Además, cuando se compromete una ubicación de almacenamiento, los ciberdelincuentes no obtienen posesión de todos los datos biométricos. Esto previene efectivamente la creación de un dummy con los datos capturados.
Más en iCOGNIZE.de
iCOGNIZE GmbH
iCOGNIZE se especializa en soluciones de seguridad biométrica. Desde 2007, la empresa desarrolla y produce escáneres biométricos de las venas de la palma de la mano para identificación y autenticación, que pueden integrarse en otros sistemas de tecnología de seguridad a través de una amplia variedad de interfaces. Tecnologías como RFID y Bluetooth son una parte integral de la cartera de productos.
La empresa tiene su sede en Dietzenbach, cerca de Fráncfort del Meno. El desarrollador del sistema biométrico también tiene aquí su propio departamento de investigación y trabaja en estrecha colaboración con universidades y otros institutos de investigación para promover innovaciones en el campo de la tecnología de seguridad biométrica.