Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық аутентификация жүргізу қағидаларын бекіту туралы

Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2026 жылғы 3 сәуірдегі № 54 қаулысы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 6 сәуірде № 38332 болып тіркелді

      "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңы 58-бабының 9-тармағына және "Микроқаржылық қызмет туралы" Қазақстан Республикасының Заңы 3-2-бабының 2-тармағына сәйкес Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің Басқармасы ҚАУЛЫ ЕТЕДІ:

      1. Қоса беріліп отырған Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық аутентификация жүргізу қағидалары бекітілсін.

      2. Мыналардың:

      1) "Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық идентификаттау өткізу қағидаларын бекіту туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2024 жылғы 16 тамыздағы № 56 қаулысының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 34950 болып тіркелген);

      2) "Қазақстан Республикасының кейбір нормативтік құқықтық актілеріне ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы" Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігі Басқармасының 2025 жылғы 20 тамыздағы № 38 қаулысының (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 36711 болып тіркелген) 2-тармағының күші жойылды деп танылсын.

      3. Ақпараттық және киберқауіпсіздік департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы қаулыны ресми жарияланғаннан кейін Қазақстан Республикасы Қаржы нарығын реттеу және дамыту агенттігінің ресми интернет-ресурсына орналастыруды;

      3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      4. Осы қаулының орындалуын бақылау Қазақстан Республикасының Қаржы нарығын реттеу және дамыту агенттігі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

      5. Осы қаулы алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Төрағасы

М. Абылкасымова

      "КЕЛІСІЛДІ"
Қазақстан Республикасының
Ұлттық Банкі

Қазақстан Республикасының Қаржы нарығын реттеу және дамыту Агенттігінің Басқармасының 2026 жылғы 3 сәуірдегі № 54 қаулысымен бекітілген

Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық аутентификация жүргізу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Банктердің, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдардың және микроқаржы ұйымдарының биометриялық аутентификация жүргізу қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасы Заңының 58-бабы 9-тармағының және "Микроқаржылық қызмет туралы" Қазақстан Республикасы Заңының 3-2-бабы 2-тармағының талаптарына сәйкес әзірленді.

      Осы Қағидалар банктер, банк операцияларының жекелеген түрлерін жүзеге асыратын ұйымдар және микроқаржы ұйымдары өздерінің аппараттық құрылғылары арқылы жүргізетін биометриялық аутентификация процестеріне қолданылмайды.

      2. Осы Қағидаларда мынадай терминдер мен анықтамалар пайдаланылады:

      1) аутентификация жүргізілетін адам – оған қатысты биометриялық аутентификация процесі жүргізілетін жеке тұлға;

      2) бейнелердің мемлекеттік дерекқоры – жеке тұлғалардың сәйкестендіру деректерін, сондай-ақ оларға сәйкес келетін адамның эталондық бейнелерін қамтитын мемлекетке тиесілі дерекқор;

      3) биометриялық аутентификация провайдері – сәйкестендірілетін адамның шынайы ағымдағы бейнесін алуды және (немесе) сәйкестендірілетін адамның ағымдағы және эталондық кескін үлгісін салыстыруды жүзеге асыратын ұйым;

      4) биометриялық аутентификация провайдерінің тексеруден өткен бейнелер дерекқоры – биометриялық аутентификация провайдері құратын және сақтайтын, бейнелердің мемлекеттік дерекқорынан алынған эталондық үлгімен сәтті салыстырып тексеруден өткен немесе биометриялық аутентификация провайдерінің аппараттық құрылғылары арқылы алынған аутентификация жүргізілетін адамдардың бейнелерін қамтитын дерекқор;

      5) биометриялық аутентификацияға тапсырыс беруші – оның мүддесінде биометриялық сәйкестендіру процесі жүзеге асырылатын ұйым;

      6) биометриялық деректерді салыстырып тексеру жүйесі – бейнелерді салыстырып тексеруді жүзеге асыратын автоматтандырылған жүйе;

      7) биометриялық деректерді тексеру жүйесі – бейненің шынайылығын тексеру рәсімін жүзеге асыратын автоматтандырылған жүйе;

      8) сәйкестендіру деректері – оған қатысты биометриялық аутентификация процесі жүргізілетін жеке тұлғаның жеке сәйкестендіру нөмірі.

      3. Биометриялық деректерді пайдалану және қорғау қағидаттары:

      1) биометриялық деректерді жинау, сақтау және жою осы Қағидалардың 2-тарауына сәйкес жүргізіледі;

      2) биометриялық деректер рұқсатсыз таралудан қорғалады;

      3) биометриялық деректерді жинау, сақтау және жою процестері құжатталады.

      4. Биометриялық аутентификацияға тапсырыс беруші биометриялық аутентификация процесінің сипаттамасын, биометриялық деректерді тексеру және биометриялық деректерді салыстыру жүйелері туралы мәліметтерді, сондай-ақ биометриялық аутентификацияның сәтті өтуі туралы шешім қабылдау өлшемшарттарын бекітеді.

      5. Биометриялық аутентификация аутентификация жүргізілетін адамның бейнесі бойынша жүргізіледі.

2-тарау. Аутентификация жүргізілетін адамның бейнесі бойынша биометриялық аутентификация тәртібі

      6. Аутентификация жүргізілетін адамның бейнесі бойынша биометриялық аутентификация процесі мынадай кезеңдерді қамтиды:

      1) аутентификация жүргізілетін адамның шынайы ағымдағы бейнесін алу;

      2) аутентификация жүргізілетін адамның сәйкестендіру деректерін (бұдан әрі – сәйкестендіру деректері) алу;

      3) сәйкестендіру жүргізілетін адамның эталондық бейнесін алу;

      4) аутентификация жүргізілетін адамның ағымдағы және эталондық бейнесін салыстыру (бұдан әрі – бейнелерді салыстыру).

      7. Аутентификация жүргізілетін адамның ағымдағы бейнесін және сәйкестендіру деректерін алуды биометриялық аутентификация провайдері мобильді құрылғыдағы немесе компьютердегі бағдарламалық қамтылым арқылы жүзеге асырады. Бұл ретте бағдарламалық қамтылымда кем дегенде мынадай қорғау шаралары іске асырылады: өзінің тұтастығын бақылау, бейненің көшірмесін алуға болатын ортада іске қосуды тексеру, құрылғының немесе компьютердің кіріктірілген камерасын ауыстырудан қорғау.

      8. Аутентификация жүргізілетін адамның ағымдағы бейнесін ауыстыруды болдырмау мақсатында аутентификация жүргізілетін адамның шынайы ағымдағы бейнесін алған кезде бейненің дұрыстығын тексеру рәсімі жүзеге асырылады, ол аутентификация жүргізілетін адамға кадрда визуалды өзгерістер жасауға бағытталған кемінде үш сигналды және (немесе) команданы жіберуді қамтиды, одан кейін онда жіберілген сигналдар мен командаларға сәйкессіздіктерді анықтау тұрғысынан бейне ағын талданады.

      Бағытталған сигналдардың және (немесе) командалардың кез келгеніне сәйкес келмеуі бейненің дұрыстығын тексеру рәсімінің қайталануына әкеледі. Үш сәтсіз қайталау бейненің дұрыстығын тексерудің теріс нәтиже бергенін білдіреді.

      9. Бейненің дұрыстығын тексеру нәтижелері бойынша тексерудің сәттілігіне қарамастан, биометриялық деректерді тексеру жүйесінде кемінде мыналарды қамтитын электрондық құжат қалыптастырылады:

      1) бейненің дұрыстығын тексеру нәтижесі;

      2) сәйкестендіру деректері;

      3) жүйе таңдаған сигналдардың және (немесе) командалардың тізбесі, сигналдарға және (немесе) командаларына сәйкес келетін бейнелер жиынтығы;

      4) биометриялық аутентификацияға тапсырыс берушінің деректемелері;

      5) бейненің дұрыстығын тексеру күні мен уақыты.

      10. Бейненің дұрыстығын тексеру нәтижелері бойынша электрондық құжат тексеруді жүзеге асырған биометриялық аутентификация провайдерінің электрондық цифрлық қолтаңбасымен куәландырылады және биометриялық аутентификацияға тапсырыс берушіде сақталады.

      11. Биометриялық деректерді салыстыру жүйесімен аутентификация жүргізілетін адамның эталондық бейнесін алу бейнелер мемлекеттік дерекқорынан немесе биометриялық аутентификация провайдерінің тексеруден өткен бейнелер дерекқорынан жүзеге асырылады.

      12. Биометриялық деректерді салыстыру аутентификация жүргізілетін адамның бейненің шынайылығын тексеру нәтижесі бойынша алынған ағымдағы бейнесін аутентификация жүргізілетін адамның эталондық бейнесімен салыстыру арқылы жүзеге асырылады. Бейнелерді салыстыру нәтижесін қалыптастыру тәртібін биометриялық аутентификация провайдері анықтайды.

      13. Бейнелерді салыстыру нәтижелері бойынша биометриялық деректерді салыстыру жүйесінде тексерудің сәтті өткеніне қарамастан кем дегенде мыналарды қамтитын электрондық құжат жасалады:

      1) бейненің дұрыстығын тексеру нәтижелері бойынша алынған аутентификация жүргізілетін адамның бейнесі;

      2) сәйкестендіру деректері;

      3) бейнелерді салыстыру нәтижесі;

      4) биометриялық аутентификацияға тапсырыс берушінің деректемелері;

      5) бейнелерді салыстыру жүргізу күні мен уақыты.

      14. Биометриялық деректерді салыстыру нәтижелері бойынша электрондық құжат:

      1) бейнелерді салыстыруды жүзеге асырған биометриялық аутентификация провайдерінің электрондық цифрлық қолтаңбасымен расталады;

      2) осындай дерекқор болған кезде бейнелерді салыстыруды жүзеге асырған биометриялық аутентификация провайдерінің тексеруден өткен бейнелерінің дерекқорында сақталады;

      3) биометриялық аутентификацияға тапсырыс берушіде сақталады.

      15. Конфиденциалдылықты қамтамасыз ету, сондай-ақ берілетін деректердің ауыстырылуын болдырмау мақсатында биометриялық аутентификация провайдерінің немесе биометриялық аутентификацияға тапсырыс берушінің ақпараттық-коммуникациялық инфрақұрылымынан тыс биометриялық аутентификация процесі шеңберінде пайдаланылатын байланыс арналарын шифрлау қамтамасыз етіледі.

      16. Бейненің шынайылығын тексеру нәтижелері, бейнелерді салыстыру нәтижелері, сондай-ақ осы Қағидалардың 4-тармағына сәйкес айқындалған өлшемшарттар негізінде биометриялық аутентификацияға тапсырыс беруші биометриялық аутентификацияның сәтті өткені туралы шешім қабылдайды.

      17. Бейненің шынайылығын тексеру нәтижелерін, бейнелерді салыстыру нәтижелерін және биометриялық аутентификацияның сәтті өткені туралы қорытынды шешімді сақтауды биометриялық аутентификацияға тапсырыс беруші оның шеңберінде биометриялық аутентификация жүзеге асырылған қаржылық қызметке қойылатын құжаттарды сақтауға қойылатын талаптарға сәйкес жүзеге асырады.

Об утверждении Правил проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями

Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 3 апреля 2026 года № 54. Зарегистрировано в Министерстве юстиции Республики Казахстан 6 апреля 2026 года № 38332

      В соответствии с пунктом 9 статьи 58 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пунктом 2 статьи 3-2 Закона Республики Казахстан "О микрофинансовой деятельности" Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями.

      2. Признать утратившими силу:

      1) постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 16 августа 2024 года № 56 "Об утверждении Правил проведения биометрической идентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 34950);

      2) пункт 2 постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 20 августа 2025 года № 38 "О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан по вопросам информационной безопасности" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 36711).

      3. Департаменту информационной и кибербезопасности в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

      4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.

      5. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка

М. Абылкасымова

      "СОГЛАСОВАНО"
      Национальный Банк
      Республики Казахстан

Утверждены постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 3 апреля 2026 года № 54

Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями

Глава 1. Общие положения

      1. Настоящие Правила проведения биометрической аутентификации банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями (далее – Правила) разработаны в соответствии с требованиями пунктом 9 статьи 58 Закона Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" и пункта 2 статьи 3-2 Закона Республики Казахстан "О микрофинансовой деятельности".

      Настоящие Правила не распространяются на процессы биометрической аутентификации, проводимые банками, организациями, осуществляющими отдельные виды банковских операций, и микрофинансовыми организациями посредством собственных аппаратных устройств.

      2. В настоящих Правилах используются следующие термины и определения:

      1) аутентифицируемый – физическое лицо, в отношении которого проводится процесс биометрической аутентификации;

      2) государственная база данных изображений – база данных, принадлежащая государству, содержащая идентификационные данные физических лиц, а также соответствующие им эталонные изображения лица.

      3) провайдер биометрической аутентификации – организация, осуществляющая получение достоверного текущего изображения лица идентифицируемого и (или) сличение текущего и эталонного образца изображения лица идентифицируемого;

      4) база данных верифицированных изображений провайдера биометрической аутентификации – база данных, создаваемая и хранимая провайдером биометрической аутентификации, содержащая изображения лиц идентифицируемых, прошедшие успешное сличение с эталонным образцом, полученным из государственной базы данных изображений, или полученные посредством аппаратных устройств провайдера биометрической аутентификации;

      5) заказчик биометрической аутентификации – организация, в интересах которой осуществляется процесс биометрической идентификации;

      6) система сличения биометрических данных – автоматизированная система, осуществляющая сличение изображений;

      7) система проверки биометрических данных – автоматизированная система, осуществляющая процедуру проверки достоверности изображения;

      8) идентификационные данные – индивидуальный идентификационный номер физического лица, в отношении которого проводится процесс биометрической аутентификации.

      3. Принципы использования и защиты биометрических данных:

      1) сбор, хранение и уничтожение биометрических данных проводится в соответствии с главой 2 настоящих Правил;

      2) биометрические данные защищаются от несанкционированного распространения;

      3) документирование процессов сбора, хранения и уничтожения биометрических данных.

      4. Заказчик биометрической аутентификации утверждает описание процесса биометрической аутентификации, сведения о системах проверки биометрических данных и сличения биометрических данных, а также критерии принятия решения об успешности биометрической аутентификации.

      5. Биометрическая аутентификации проводится по изображению лица аутентифицируемого.

Глава 2. Порядок биометрической аутентификации по изображению лица аутентифицируемого

      6. Процесс биометрической аутентификации по изображению лица аутентифицируемого включает в себя следующие этапы:

      1) получение достоверного текущего изображения лица аутентифицируемого;

      2) получение идентификационных данных аутентифицируемого (далее – идентификационные данные);

      3) получение эталонного изображения лица идентифицируемого;

      4) сличение текущего и эталонного изображения лица аутентифицируемого (далее – сличение изображений).

      7. Получение текущего изображения лица аутентифицируемого и идентификационных данных осуществляется провайдером биометрической аутентификации посредством программного обеспечения на мобильном устройстве или компьютере. При этом в программном обеспечении реализуются как минимум следующие меры защиты: контроль собственной целостности, проверка на запуск в эмулируемой среде, защита от подмены встроенной камеры устройства или компьютера.

      8. При получении достоверного текущего изображения лица аутентифицируемого, с целью предотвращения подмены текущего изображения лица аутентифицируемого, осуществляется процедура проверки достоверности изображения, включающая в себя направление аутентифицируемому не менее трех сигналов и (или) команд, направленных на создание визуальных изменений в кадре, с последующим анализом видеопотока на предмет выявления в нем несоответствий направленным сигналам и командам.

      Выявленное несоответствие любому из направленных сигналов и (или) команд приводит к повторению процедуры проверки достоверности изображения. Три неуспешных повтора означают отрицательный результат проверки достоверности изображения.

      9. По результатам проверки достоверности изображения независимо от успешности проверки в системе проверки биометрических данных формируется электронный документ, содержащий как минимум:

      1) результат проверки достоверности изображения;

      2) идентификационные данные;

      3) перечень выбранных системой сигналов и (или) команд, набор соответствующих сигналам и (или) командам изображений;

      4) реквизиты заказчика биометрической аутентификации;

      5) дату и время проведения проверки достоверности изображения.

      10. Электронный документ по результатам проверки достоверности изображения удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего проверку, и хранится у заказчика биометрической аутентификации.

      11. Получение эталонного изображения лица, аутентифицируемого системой сличения биометрических данных, осуществляется из государственной базы данных изображений или базы данных верифицированных изображений провайдера биометрической аутентификации.

      12. Сличение биометрических данных осуществляется путем сравнения изображения лица аутентифицируемого, полученного по результатам проверки достоверности изображения, с эталонным изображением лица аутентифицируемого. Порядок формирования результата сличения изображений определяется провайдером биометрической аутентификации.

      13. По результатам сличения изображений, независимо от успешности проверки в системе сличения биометрических данных, формируется электронный документ, содержащий как минимум:

      1) изображение лица аутентифицируемого, полученное по результатам проверки достоверности изображения;

      2) идентификационные данные;

      3) результат сличения изображений;

      4) реквизиты заказчика биометрической аутентификации;

      5) дату и время проведения сличения изображений.

      14. Электронный документ по результатам сличения биометрических данных:

      1) удостоверяется электронной цифровой подписью провайдера биометрической аутентификации, осуществлявшего сличение изображений;

      2) сохраняется в базе данных верифицированных изображений провайдера биометрической аутентификации, осуществлявшего сличение изображений, при наличии такой базы данных;

      3) хранится у заказчика биометрической аутентификации.

      15. С целью обеспечения конфиденциальности, а также предотвращения подмены передаваемых данных обеспечивается шифрование используемых в рамках процесса биометрической аутентификации каналов связи, выходящих за пределы информационно-коммуникационной инфраструктуры провайдера биометрической аутентификации или заказчика биометрической аутентификации.

      16. На основании результатов проверки достоверности изображения, результатов сличения изображений, а также критериев, определенных в соответствии с пунктом 4 настоящих Правил, заказчиком биометрической аутентификации принимается решение об успешности биометрической аутентификации.

      17. Хранение результатов проверки достоверности изображения, результатов сличения изображений и итогового решения об успешности биометрической аутентификации осуществляется заказчиком биометрической аутентификации в соответствии с требованиями к хранению документов, предъявляемыми к финансовой услуге, в рамках которой осуществлялась биометрическая аутентификация.