krivser 20 сен 2021 в 14:45

На шаг ближе к Open Banking с WSO2 API Manager

9 мин

16K

Блог компании РосбанкИнформационная безопасность*Анализ и проектирование систем*API*

Комментарии 11

laizafox 20 сен 2021 в 16:49

Статья огонь! С нетерпение ждем продолжения)

krivser 23 сен 2021 в 04:53

Спасибо. Обязательно будет продолжение

venil 20 сен 2021 в 18:20

Отлично написано!

bankir1980 20 сен 2021 в 22:52

Интересно было бы знать как всё это соотносится с требованиями законодательства РФ в части защиты ПДн, требований использования гостовых шифров/сертификатов и т.п. Вряд ли проверяющих ЦБ устроит обмен данными через интернет по обычному ssl сертификату с OAuth авторизацией. Вынесен ли этот самый middleware в dmz зону или живёт внутри сети банка? Есть ли в этом миддлеваре хранение данных, а соответственно и хранение ПДн и как оно сертифицируется для этого хранения.

krivser 21 сен 2021 в 04:07

Вряд ли проверяющих ЦБ устроит обмен данными через интернет по обычному ssl сертификату с OAuth авторизацией

В части защиты ПДн все просто. Этот вопрос решается на стороне ИБ. Платформа "из коробки" не поддерживает шифрование ГОСТ. Но этого и не требуется. Если нужно использовать ГОСТ-шифрование при передаче ПДн, то для этих целей необходимо использовать программно-аппаратные средства (ФПСУ-IP, С-Терра и другие), которые имеют соответствующую сертифицикацию. В этом случае между Банком и Партнёром будет настроен VPN-туннель с необходимым уровнем шифрования, который устроит ЦБ.

krivser 21 сен 2021 в 04:15

Вынесен ли этот самый middleware в dmz зону или живёт внутри сети банка?

Как указано в статье, API Manager можно развернуть как для внешних подключений, так и для внутреннего использования. Каким образом это реализовать решается внутри Банка (это может быть сделано как в DMZ, так и через reverse-proxy)

krivser 21 сен 2021 в 04:12

Есть ли в этом миддлеваре хранение данных, а соответственно и хранение ПДн и как оно сертифицируется для этого хранения.

Хранения ПДн нет, так как это слой интеграции. А вопрос сертификации - это опять же зона ответственности команды информационной безопасности Банка. Но это не является сложной задачей или каким стоп-фактором. Все решается при необходимости.

Rosich70 23 сен 2021 в 04:49

Интересно было подробнее рассмотреть работу API. Стоит продолжать дальше.

krivser 23 сен 2021 в 04:52

Спасибо. Уточните, что именно по работе API было бы интересно прочитать? Как создать, опубликовать API, подписаться, получить access_token и вызвать API? Или что-то другое ?

Rosich70 23 сен 2021 в 07:06

Все верное, интересует все перечисленное, а также технические меры защиты. В целом стало интересовать, как реализован Open banking , какие меры применять для его защиты, на сколько наши реализации отличаются от Европы и штатов?

Rampage 11 янв 2022 в 09:02

Используете ли вы стандарт AsyncAPI для описания асинхронного взаимодействия? Если да, можете поделиться своим опытом использования спецификации? на сколько удобное, готовое/сырое решение?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий