Capricho ou Segurança: Como as Empresas Podem Usar a Biometria na Nova Realidade
A biometria está se tornando cada vez mais regulamentada na Rússia. Este artigo explora as novas regras, os desafios de implementação e as opções para as empresas que precisam adotar sistemas biométricos, incluindo o uso do Sistema Biométrico Unificado (EBS) e Sistemas Biométricos Comerciais (KBS).
MundiX News·02 de maio de 2026·7 min de leitura·👁 7 views
A biometria na Rússia tem sido cada vez mais regulamentada nos últimos anos. A Lei Federal nº 572-FZ de 2023 dita novas regras. Agora, todos os vetores biométricos dos cidadãos são armazenados centralmente no Sistema Biométrico Unificado (EBS), e para usá-los, é necessário entrar em contato diretamente com o estado. Além disso, surgiram os sistemas biométricos comerciais (KBS) – com a ajuda deles, as empresas podem "alugar" vetores biométricos do EBS para implementar seus cenários de autenticação.
Olá! Sou Ivan Kuzmin, responsável pelo produto MTS KYC Platform – um sistema para verificação automática de documentos, identificação de usuários e proteção eficaz contra fraudes. Nesta publicação, tentei explicar em termos gerais como a biometria é regulamentada atualmente na Rússia, qual é a complexidade de implementar sistemas biométricos e o que fazer se os requisitos regulatórios também chegarem até você.
Brevemente sobre a lei e qual é a dificuldade
Essencialmente, a Lei Federal nº 572-FZ desenvolve as disposições da Lei Federal nº 152-FZ sobre dados pessoais, mas introduz regras separadas para trabalhar especificamente com dados pessoais biométricos. Ela estabelece um modelo no qual os vetores biométricos dos cidadãos são armazenados centralmente no Sistema Biométrico Unificado. Isso ajuda a reduzir o nível de fraude e a usar dados confirmados para identificação.
O Sistema Biométrico Unificado (EBS) é uma plataforma estatal, e todos os vetores nela são códigos digitais criptografados exclusivos, obtidos como resultado do processamento de dados biométricos de uma pessoa (imagem facial e gravação de voz) de acordo com requisitos rigorosos (por exemplo, GOST R ISO/IEC 19794-5).
Se você decidir implementar a biometria (devido a requisitos legais ou como parte de seus próprios processos de negócios), de uma forma ou de outra, você terá que trabalhar dentro do contorno de requisitos infraestruturais e regulatórios rígidos (falarei sobre eles com mais detalhes um pouco mais tarde).
Uma alternativa em alguns casos pode ser trabalhar através de um KBS – sistemas biométricos comerciais. Para muitas empresas, essa opção é mais simples, porque uma parte significativa do trabalho infraestrutural, organizacional e regulatório já está do lado do provedor de KBS. Isso permite que as empresas incorporem a biometria em seus processos mais rapidamente, sem construir todo o contorno por conta própria.
Quando EBS e quando KBS
Vamos começar com o simples. Vamos considerar em quais cenários de trabalho as empresas precisam entrar em contato diretamente com o EBS e em quais podem trabalhar através de um KBS.
Quando, como regra, o EBS é usado diretamente
Aqui estão os cenários mais comuns:
venda de cartões SIM (as emendas à Lei Federal nº 303-FZ estabeleceram novas regras para a venda de cartões SIM: as operadoras de telecomunicações receberam o direito de entrar em contato diretamente com o EBS);
abertura remota de contas bancárias;
check-in em voos;
acesso a lounges de aeroportos;
check-in em hotéis;
embarque em trens;
confirmação de idade na venda de álcool e outros produtos 18+;
recebimento de serviços governamentais (atendimento em MFC, abertura de negócios online, recebimento de UKEP e assim por diante).
Quando você pode usar sistemas biométricos comerciais (KBS)
Existe outro tipo de cenário – quando uma empresa deseja usar a biometria para melhorar a experiência do usuário, por exemplo:
pagamento por rosto (como exemplo – o conhecido pagamento por sorriso do Sber);
sistemas de controle de acesso (acesso ao escritório ou ao território da empresa, com exceção de instalações restritas e CII);
sistemas corporativos de identificação de funcionários (por exemplo, para contabilizar o controle do tempo de trabalho);
confirmação de operações (confirmação de pagamentos, pagamento de passagens no transporte);
interfone biométrico.
Nesses cenários de uso da biometria, a empresa tem uma escolha – entrar em contato diretamente com o EBS ou usar um KBS.
Claro, cada caso é melhor considerado separadamente. Mas, em geral, a escolha do modelo de trabalho é influenciada pela natureza do cenário, sua frequência e os requisitos de integração. A conexão direta ao EBS é mais frequentemente escolhida para casos regulamentados pelo estado, e o KBS – para casos frequentes, pois o sistema oferece maior flexibilidade em tarifas, formatos de conexão e termos de cooperação.
O que é necessário para trabalhar com o EBS: requisitos de infraestrutura
A interação direta com o EBS envolve o cumprimento de requisitos rígidos de segurança e infraestrutura: são necessárias soluções certificadas e canais de interação protegidos. A empresa constrói do zero um contorno de interação com os sistemas estatais: desde canais de comunicação até complexos de hardware e software.
Aqui estão os principais componentes de tal infraestrutura:
Complexo de hardware e software para coleta de biometria.
Podem ser webcams, terminais ou um aplicativo móvel. Eles podem ser comprados ou desenvolvidos de forma independente, mas em qualquer caso, o programa deve passar pelas verificações e aprovações necessárias.
Infraestrutura de servidor para lógica de negócios.
Deve estar localizada em data centers que atendam aos requisitos de segurança e processamento de dados pessoais de acordo com a Lei Federal nº 152-FZ – geralmente contornos FSTEC certificados (Serviço Federal de Controle Técnico e de Exportação).
Gateway protegido para trabalhar com sistemas estatais.
Este é um complexo de hardware e software certificado ou um gateway protegido que permite que o sistema de informação da empresa interaja com segurança com os sistemas estatais. Por exemplo, este é o TIB – uma solução da empresa CBT, e também o TrustGate – da empresa Infotex.
Meios de proteção criptográfica de informações (SCZI).
Como estamos falando de infraestrutura estatal, são necessários meios criptográficos russos certificados que atendam aos requisitos do FSB – geralmente é um complexo que inclui tanto software quanto equipamentos especializados.
Repito: toda a infraestrutura deve ser atestada e, em alguns casos, certificada de acordo com os requisitos dos reguladores.
Outras opções para começar a trabalhar com biometria
Se você ainda decidiu pela biometria ou os reguladores decidiram por você, existem várias opções para organizar o trabalho – do simples ao complexo.
Pelo modelo de instrução através de um banco
Para alguns casos (por exemplo, para MFIs), você pode usar um contrato de instrução, no qual o banco realiza a identificação biométrica em sua infraestrutura. Isso reduz muito os requisitos para a infraestrutura da própria empresa.
Atestado FSTEC: não é necessário.
Através de um provedor técnico
Nesse caso, o provedor fornece a infraestrutura e a API para trabalhar com a biometria, e todos os contratos legais e a interação com os usuários permanecem do lado da empresa. Nesse caso, você só precisa fornecer um canal de interação protegido com o provedor.
Atestado FSTEC: existem requisitos para o canal de comunicação do lado do cliente.
Usar soluções prontas de provedores
Nesse caso, você pode assumir parte das tarefas chave na mão – usar soluções de empresas que já organizaram a infraestrutura para trabalhar com a biometria. Isso simplifica o lançamento, mas após a integração, essas soluções ainda precisam ser incorporadas ao contorno da empresa.
Atestado FSTEC: obrigatório após a integração no contorno da empresa.
Escolher uma infraestrutura atestada chave na mão
A parte mais difícil – a interação com os sistemas estatais – pode ser implementada através de infraestruturas de nuvem atestadas. Ao mesmo tempo, a lógica de negócios e os serviços internos precisarão ser desenvolvidos de forma independente.
Atestado FSTEC: obrigatório após a integração com sua própria infraestrutura.
E o caminho mais difícil e caro – construir a infraestrutura de forma independente – dediquei todo o bloco acima a isso. Essa abordagem geralmente só pode ser permitida por grandes empresas com um grande volume de operações.
Conclusões
A biometria na Rússia é um mercado relativamente jovem. A legislação e as regras de trabalho mudam regularmente e você precisa se adaptar constantemente a elas.
Em muitos aspectos, o crescimento ativo é estimulado e apoiado pelo estado. Ao mesmo tempo, cada vez mais empresas estão começando a usar a tecnologia em cenários comerciais, e a biometria é cada vez mais encontrada em nosso dia a dia. O principal é escolher a opção ideal para organizar o trabalho.
Nós da MTS, por exemplo, desenvolvemos tecnologias biométricas tanto para tarefas internas (emissão de cartões SIM online, alteração remota de IMEI, acesso a escritórios através do bioACS), quanto para outras empresas no mercado.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A biometria na Rússia tem sido cada vez mais regulamentada nos últimos anos. A Lei Federal nº 572-FZ de 2023 dita novas regras. Agora, todos os vetores biométricos dos cidadãos são armazenados centralmente no Sistema Biométrico Unificado (EBS), e para usá-los, é necessário entrar em contato diretamente com o estado. Além disso, surgiram os sistemas biométricos comerciais (KBS) – com a ajuda deles, as empresas podem "alugar" vetores biométricos do EBS para implementar seus cenários de autenticação.
Olá! Sou Ivan Kuzmin, responsável pelo produto MTS KYC Platform – um sistema para verificação automática de documentos, identificação de usuários e proteção eficaz contra fraudes. Nesta publicação, tentei explicar em termos gerais como a biometria é regulamentada atualmente na Rússia, qual é a complexidade de implementar sistemas biométricos e o que fazer se os requisitos regulatórios também chegarem até você.
Brevemente sobre a lei e qual é a dificuldade
Essencialmente, a Lei Federal nº 572-FZ desenvolve as disposições da Lei Federal nº 152-FZ sobre dados pessoais, mas introduz regras separadas para trabalhar especificamente com dados pessoais biométricos. Ela estabelece um modelo no qual os vetores biométricos dos cidadãos são armazenados centralmente no Sistema Biométrico Unificado. Isso ajuda a reduzir o nível de fraude e a usar dados confirmados para identificação.
O Sistema Biométrico Unificado (EBS) é uma plataforma estatal, e todos os vetores nela são códigos digitais criptografados exclusivos, obtidos como resultado do processamento de dados biométricos de uma pessoa (imagem facial e gravação de voz) de acordo com requisitos rigorosos (por exemplo, GOST R ISO/IEC 19794-5).
Se você decidir implementar a biometria (devido a requisitos legais ou como parte de seus próprios processos de negócios), de uma forma ou de outra, você terá que trabalhar dentro do contorno de requisitos infraestruturais e regulatórios rígidos (falarei sobre eles com mais detalhes um pouco mais tarde).
Uma alternativa em alguns casos pode ser trabalhar através de um KBS – sistemas biométricos comerciais. Para muitas empresas, essa opção é mais simples, porque uma parte significativa do trabalho infraestrutural, organizacional e regulatório já está do lado do provedor de KBS. Isso permite que as empresas incorporem a biometria em seus processos mais rapidamente, sem construir todo o contorno por conta própria.
Quando EBS e quando KBS
Vamos começar com o simples. Vamos considerar em quais cenários de trabalho as empresas precisam entrar em contato diretamente com o EBS e em quais podem trabalhar através de um KBS.
Quando, como regra, o EBS é usado diretamente
Aqui estão os cenários mais comuns:
venda de cartões SIM (as emendas à Lei Federal nº 303-FZ estabeleceram novas regras para a venda de cartões SIM: as operadoras de telecomunicações receberam o direito de entrar em contato diretamente com o EBS);
abertura remota de contas bancárias;
check-in em voos;
acesso a lounges de aeroportos;
check-in em hotéis;
embarque em trens;
confirmação de idade na venda de álcool e outros produtos 18+;
recebimento de serviços governamentais (atendimento em MFC, abertura de negócios online, recebimento de UKEP e assim por diante).
Quando você pode usar sistemas biométricos comerciais (KBS)
Existe outro tipo de cenário – quando uma empresa deseja usar a biometria para melhorar a experiência do usuário, por exemplo:
pagamento por rosto (como exemplo – o conhecido pagamento por sorriso do Sber);
sistemas de controle de acesso (acesso ao escritório ou ao território da empresa, com exceção de instalações restritas e CII);
sistemas corporativos de identificação de funcionários (por exemplo, para contabilizar o controle do tempo de trabalho);
confirmação de operações (confirmação de pagamentos, pagamento de passagens no transporte);
interfone biométrico.
Nesses cenários de uso da biometria, a empresa tem uma escolha – entrar em contato diretamente com o EBS ou usar um KBS.
Claro, cada caso é melhor considerado separadamente. Mas, em geral, a escolha do modelo de trabalho é influenciada pela natureza do cenário, sua frequência e os requisitos de integração. A conexão direta ao EBS é mais frequentemente escolhida para casos regulamentados pelo estado, e o KBS – para casos frequentes, pois o sistema oferece maior flexibilidade em tarifas, formatos de conexão e termos de cooperação.
O que é necessário para trabalhar com o EBS: requisitos de infraestrutura
A interação direta com o EBS envolve o cumprimento de requisitos rígidos de segurança e infraestrutura: são necessárias soluções certificadas e canais de interação protegidos. A empresa constrói do zero um contorno de interação com os sistemas estatais: desde canais de comunicação até complexos de hardware e software.
Aqui estão os principais componentes de tal infraestrutura:
Complexo de hardware e software para coleta de biometria.
Podem ser webcams, terminais ou um aplicativo móvel. Eles podem ser comprados ou desenvolvidos de forma independente, mas em qualquer caso, o programa deve passar pelas verificações e aprovações necessárias.
Infraestrutura de servidor para lógica de negócios.
Deve estar localizada em data centers que atendam aos requisitos de segurança e processamento de dados pessoais de acordo com a Lei Federal nº 152-FZ – geralmente contornos FSTEC certificados (Serviço Federal de Controle Técnico e de Exportação).
Gateway protegido para trabalhar com sistemas estatais.
Este é um complexo de hardware e software certificado ou um gateway protegido que permite que o sistema de informação da empresa interaja com segurança com os sistemas estatais. Por exemplo, este é o TIB – uma solução da empresa CBT, e também o TrustGate – da empresa Infotex.
Meios de proteção criptográfica de informações (SCZI).
Como estamos falando de infraestrutura estatal, são necessários meios criptográficos russos certificados que atendam aos requisitos do FSB – geralmente é um complexo que inclui tanto software quanto equipamentos especializados.
Repito: toda a infraestrutura deve ser atestada e, em alguns casos, certificada de acordo com os requisitos dos reguladores.
Outras opções para começar a trabalhar com biometria
Se você ainda decidiu pela biometria ou os reguladores decidiram por você, existem várias opções para organizar o trabalho – do simples ao complexo.
Pelo modelo de instrução através de um banco
Para alguns casos (por exemplo, para MFIs), você pode usar um contrato de instrução, no qual o banco realiza a identificação biométrica em sua infraestrutura. Isso reduz muito os requisitos para a infraestrutura da própria empresa.
Atestado FSTEC: não é necessário.
Através de um provedor técnico
Nesse caso, o provedor fornece a infraestrutura e a API para trabalhar com a biometria, e todos os contratos legais e a interação com os usuários permanecem do lado da empresa. Nesse caso, você só precisa fornecer um canal de interação protegido com o provedor.
Atestado FSTEC: existem requisitos para o canal de comunicação do lado do cliente.
Usar soluções prontas de provedores
Nesse caso, você pode assumir parte das tarefas chave na mão – usar soluções de empresas que já organizaram a infraestrutura para trabalhar com a biometria. Isso simplifica o lançamento, mas após a integração, essas soluções ainda precisam ser incorporadas ao contorno da empresa.
Atestado FSTEC: obrigatório após a integração no contorno da empresa.
Escolher uma infraestrutura atestada chave na mão
A parte mais difícil – a interação com os sistemas estatais – pode ser implementada através de infraestruturas de nuvem atestadas. Ao mesmo tempo, a lógica de negócios e os serviços internos precisarão ser desenvolvidos de forma independente.
Atestado FSTEC: obrigatório após a integração com sua própria infraestrutura.
E o caminho mais difícil e caro – construir a infraestrutura de forma independente – dediquei todo o bloco acima a isso. Essa abordagem geralmente só pode ser permitida por grandes empresas com um grande volume de operações.
Conclusões
A biometria na Rússia é um mercado relativamente jovem. A legislação e as regras de trabalho mudam regularmente e você precisa se adaptar constantemente a elas.
Em muitos aspectos, o crescimento ativo é estimulado e apoiado pelo estado. Ao mesmo tempo, cada vez mais empresas estão começando a usar a tecnologia em cenários comerciais, e a biometria é cada vez mais encontrada em nosso dia a dia. O principal é escolher a opção ideal para organizar o trabalho.
Nós da MTS, por exemplo, desenvolvemos tecnologias biométricas tanto para tarefas internas (emissão de cartões SIM online, alteração remota de IMEI, acesso a escritórios através do bioACS), quanto para outras empresas no mercado.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
