Как стать автором
Обновить

Комментарии 11

Статья огонь! С нетерпение ждем продолжения)

Спасибо. Обязательно будет продолжение

Интересно было бы знать как всё это соотносится с требованиями законодательства РФ в части защиты ПДн, требований использования гостовых шифров/сертификатов и т.п. Вряд ли проверяющих ЦБ устроит обмен данными через интернет по обычному ssl сертификату с OAuth авторизацией. Вынесен ли этот самый middleware в dmz зону или живёт внутри сети банка? Есть ли в этом миддлеваре хранение данных, а соответственно и хранение ПДн и как оно сертифицируется для этого хранения.

Вряд ли проверяющих ЦБ устроит обмен данными через интернет по обычному ssl сертификату с OAuth авторизацией

В части защиты ПДн все просто. Этот вопрос решается на стороне ИБ. Платформа "из коробки" не поддерживает шифрование ГОСТ. Но этого и не требуется. Если нужно использовать ГОСТ-шифрование при передаче ПДн, то для этих целей необходимо использовать программно-аппаратные средства (ФПСУ-IP, С-Терра и другие), которые имеют соответствующую сертифицикацию. В этом случае между Банком и Партнёром будет настроен VPN-туннель с необходимым уровнем шифрования, который устроит ЦБ.

Вынесен ли этот самый middleware в dmz зону или живёт внутри сети банка?

Как указано в статье, API Manager можно развернуть как для внешних подключений, так и для внутреннего использования. Каким образом это реализовать решается внутри Банка (это может быть сделано как в DMZ, так и через reverse-proxy)

Есть ли в этом миддлеваре хранение данных, а соответственно и хранение ПДн и как оно сертифицируется для этого хранения.

Хранения ПДн нет, так как это слой интеграции. А вопрос сертификации - это опять же зона ответственности команды информационной безопасности Банка. Но это не является сложной задачей или каким стоп-фактором. Все решается при необходимости.

Интересно было подробнее рассмотреть работу API. Стоит продолжать дальше.

Спасибо. Уточните, что именно по работе API было бы интересно прочитать? Как создать, опубликовать API, подписаться, получить access_token и вызвать API? Или что-то другое ?

Все верное, интересует все перечисленное, а также технические меры защиты. В целом стало интересовать, как реализован Open banking , какие меры применять для его защиты, на сколько наши реализации отличаются от Европы и штатов?

Используете ли вы стандарт AsyncAPI для описания асинхронного взаимодействия? Если да, можете поделиться своим опытом использования спецификации? на сколько удобное, готовое/сырое решение?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий