El proceso de verificación de identidad del cliente se realiza contra las bases de datos de la Registraduría, entre otras.

Cada entidad financiera debe determinar las operaciones que, de acuerdo con su evaluación particular, generan mayor exposición a riesgo de fraude o suplantación y, en esa medida, requieren mecanismos fuertes de autenticación, entre ellos el uso de datos biométricos como factor de autenticación electrónica.

La Superintendencia Financiera ha instruido a sus entidades vigiladas en materia de seguridad y calidad en los distintos canales de distribución de servicios y ha fijado algunos lineamientos para el uso de biometría como factor fuerte de autenticación, los cuales están contemplados en el Capítulo I, Título II, Parte I de su Circular Básica Jurídica (Circular Externa 006/25).

En cuanto a requerimientos mínimos, la norma dispone que las entidades que usen biometría como factor de autenticación electrónica deben realizar el proceso de verificación de identidad del cliente contra las bases de datos de la Registraduría Nacional del Estado Civil, operadores de servicios ciudadanos digitales o de identidad digital autorizados o contra sus propias bases de datos.

Así mismo, señaló la entidad, deben establecer mecanismos alternativos que permitan completar los procesos de autenticación cuando, por razones médicas o físicas, el cliente no pueda hacer uso de la biometría.

En aquellos eventos en que utilicen bases de datos propias las entidades financieras deben:

• Almacenar las plantillas biométricas utilizando sistemas de tokenización o algoritmos de cifrado fuertes.

• Abstenerse de almacenar muestras biométricas que hayan sido tomadas con el propósito de realizar procesos de autenticación, salvo que se cuente con autorización explicita y siempre que sean necesarias en la ejecución de programas de inclusión financiera en sectores apartados del territorio nacional.

• Almacenar la información demográfica del cliente de manera separada de las plantillas biométricas, relacionándolas entre sí por medio de códigos generados por algoritmos matemáticos que no sean fácilmente descifrados.

• Se deben contemplar mecanismos de prueba de vida para fortalecer la confiabilidad y seguridad del sistema, tales como: medición de propiedades fisiológicas del individuo, identificación de respuestas de comportamiento humano o protocolos de desafío - respuesta.

• Establecer controles en la captura inicial de muestras biométricas de los clientes que aseguren que la información se obtenga directamente del titular del dato.

• Adecuada gestión de los riesgos asociados, verificar regularmente la efectividad de los controles implementados y dar cumplimiento a la normativa sobre protección de datos y habeas data.

Tomado de: https://www.ambitojuridico.com/noticias/comercial/entidades-financieras-pueden-establecer-uso-de-datos-biometricos-como

Colaboración:

Diego Ospina

Unidad de Cumplimiento