другой уц не всегда вариант например в регионах
насчет НПА, это конечно было устно, но разговаривал я с человеком который занимается и в т.ч. аккредитацией УЦ из МКС так вот он тоже не смог вспомнить требований о фотофиксации

Для начала бы я запросил у них ответ на вопрос на основании какого НПА они требуют это

на основании своего регламента работы УЦ, при этом в этом УЦ необходимо получать эп для работы в их системе т.е. выбора нет.

Это не была контрольная закупка, а стечение обстоятельств. Мой знакомый обратился сделать подписи на отчетность, но владельца не было в стране, мы отказали т.к нужно личное присутствие и фото. В конечном итоге промониторив все ресурсы он сделал ЭЦП. и исполнителем оказался Контур.  Связались с ним через группу в ВК.🙈 и по эл. почте все сделали.

вот тут прислали, не знаю насколько это правда.
насколько мне известно ряд УЦ из федеральных практикует фото например тот же Тензор или Контур. Все опасаются мошенников, но при этом я считаю сами могут стать пособниками ибо если эти фотографии хранятся просто на диске где то в шаре лвс предприятия то сами понимает можно скачать, а потом продать/передать заинтересованным лицам. При том что в соглашении о обработке пдн в том же Тензоре не было упоминания о фотофиксации.
В целях противодействия также мошенничеству в офисах где происходит выдача ЭП очень часто ведется видеосъемка приходящих людей, разве этого не достаточно?

У нас в банке по одному случаю жертва только через пол года опомнилась, так что видео может столько не храниться

ну смотрите банк присоеденяется к ЕБС и там вроде как ясно понятно, мб даже уже есть стандрты хранения, там спец средства и скзи. в моем случае УЦ ничего не мешает хранить данные в открытом виде в своей сети

вопрос не совсем по теме треда. вот жертва опомнилась спустя полгода и что СБ банка начала отработку инцидента несмотря на столь долгий срок? ведь согласно 161-ФЗ ст. 9 п. 11 В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
или ее кейс не относился к электронным средствам?

Уц должен заявится как испдн по идее. А отсюда уже требования к хранению фото и т.п

это есть да, но если еще и появляется биометрия это как то отдельно регестрируется или нет?

+ везде идёт речь про идентификацию личности. Вот на эту тему наверняка где-то процедура прописана

Биометрия это автоматом класс испдн повышается требования соответственно

И да они должны в ркн заявить это

Вот не сталкивался, но по идее это может как то и а согласии отражаться

в согласии нет сведений о сбре биометрии

вот в реестре РКН операторов персоналки сведения о какой то школе МБОУ

а та та, похоже попались

порядок уц должен быть разработан в соответствии с НПА. В основе это 63-фз и приказ МКС № 397 О порядке работы УЦ

@ruCyberSecurity_admin прошу вас потом перенести собщения на форум в тему также как делаете по КИИ)

ну я ж не спорю, но разве в 63-фз, и в мкс 397 есть требования на фотофиксацию?

Если кстати углубиться в 63-фз, то можно увидеть, что даже требуемый скан паспорта избыточен