El Estándar X9.84 (Seguridad en Sistemas Biometrico)

concepto biometriaExiste una organización acreditada por el Instituto Nacional de Estándares de Estados Unidos (American National Standars Institute, ANSI) conocida como X9 que es responsable del desarrollo y la publicación de los consensos alcanzados en temas de estandarización para la industria de servicios financieros.

Entre las tareas encomendadas a esta organización se puede destacar la comprobación de procesos, la comprobación de las transacciones electrónicas comerciales y personales, la gestión y la protección de los códigos de autenticación personal (PIN), el uso de técnicas criptográficas, pagos a través de Internet, intercambio de imágenes financieras, aspectos de seguridad de la banca en línea,etc.

Es fácil deducir que muchas de estas líneas de actividad despiertan el interés de empresas de soluciones biométricas que ofrecen el acceso lógico a esas aplicaciones o servicios mediante el empleo de información biométrica como si se tratase de claves públicas cuyo desciframiento no debería comprometer a los sistemas ni a los individuos. Por ello, dentro de X9, el grupo de trabajo X9.84-2000 (Biometric Information Managment and Security) se encarga de la estandarización biométrica, preocupados por la seguridad y la gestión de los datos biométricos de los usuarios durante el tiempo de su existencia.

Aspectos como la seguridad en la transmisión y en el almacenamiento de esta información biométrica sensible, o la seguridad e integridad en el hardware y software utilizado, constituyen algunos de sus objetivos. Su misión es desarrollar los estándares biométricos necesarios antes de empezar a realizar grandes inversiones en esta tecnología para incluirla en sus propios servicios. El estándar X9.84 se aprobó en Marzo de 2001 y se pretende que también se convierta en un estándar ISO.

X9.84 ha revisado el flujo seguido por los procesos de autenticación para detectar posibles riesgos de seguridad, puntos débiles en el mismo, etc. Su idea es que, si el sistema es consistente, los bancos e instituciones similares pueden implementar soluciones con la confianza suficiente en las fuentes de datos (bases de datos con los patrones biométricos), en los resultados de la verificación que se produzcan, en la integridad y confidencialidad de los datos que intervienen en el proceso de autenticación, en los procesos de transmisión y almacenamiento de esos datos, etc.

El estándar X9.84 proporciona integridad y privacidad. La privacidad se consigue mediante técnicas criptográficas aplicadas sobre los datos biométricos específicos del usuario, después de aplicar la técnica criptográfica estos datos se concentran en un bloque de datos, el cual se conoce como “opaco”. La integridad se alcanza aplicando de igual manera técnicas criptográficas como las firmas digitales o un mensaje con un código de autenticación (Message Authentication Code, MAC) sobre todos los datos biométricos, es decir, la cabecera y el bloque de datos opaco con la información biométrica específica de ese usuario. La privacidad y la integridad pueden conseguirse de forma independiente, pero cuando se requieren ambas, primero se consigue la integridad, es decir, la firma y posteriormente la privacidad, es decir, se cifran las dos. En particular X9.84 soporta el transporte de claves asimétricas, acuerdos entre claves, etc, tanto para la privacidad como para la integridad.

Aunque X9.84 se ha convertido en un estándar de facto para las compañías que ofrecen servicios financieros, no se puede decir lo mismo para los fabricantes o vendedores de soluciones biométricas especialmente los que se encargan de las funciones de almacenamiento, transmisión, extracción y comparación de los datos, ya que el nuevo estándar les obliga a incorporar un nivel de seguridad y mecanismos criptográficos que no se encuentran implementados en los productos actuales.

Un comentario sobre “El Estándar X9.84 (Seguridad en Sistemas Biometrico)

Deja un comentario