На самом деле не важно госконтора или нет. В ИТ-ландшафте могут быть и как показала практика есть такие enterprise legacy-системы, которые просто не могут взаимодействовать с внешним миром по другим протоколам/форматам. И в этом случае вам ничего не останется как делать адаптер для такой системы, который внутри уже реализует трансформацию из SOAP/XML -> REST/JSON
Спасибо. Уточните, что именно по работе API было бы интересно прочитать? Как создать, опубликовать API, подписаться, получить access_token и вызвать API? Или что-то другое ?
Вынесен ли этот самый middleware в dmz зону или живёт внутри сети банка?
Как указано в статье, API Manager можно развернуть как для внешних подключений, так и для внутреннего использования. Каким образом это реализовать решается внутри Банка (это может быть сделано как в DMZ, так и через reverse-proxy)
Есть ли в этом миддлеваре хранение данных, а соответственно и хранение ПДн и как оно сертифицируется для этого хранения.
Хранения ПДн нет, так как это слой интеграции. А вопрос сертификации - это опять же зона ответственности команды информационной безопасности Банка. Но это не является сложной задачей или каким стоп-фактором. Все решается при необходимости.
Вряд ли проверяющих ЦБ устроит обмен данными через интернет по обычному ssl сертификату с OAuth авторизацией
В части защиты ПДн все просто. Этот вопрос решается на стороне ИБ. Платформа "из коробки" не поддерживает шифрование ГОСТ. Но этого и не требуется. Если нужно использовать ГОСТ-шифрование при передаче ПДн, то для этих целей необходимо использовать программно-аппаратные средства (ФПСУ-IP, С-Терра и другие), которые имеют соответствующую сертифицикацию. В этом случае между Банком и Партнёром будет настроен VPN-туннель с необходимым уровнем шифрования, который устроит ЦБ.
Какие преимущества для себя выделили по сравнению с WSO2 ?
Какие функции разрабатываете своими силами, например ?
Какую в итоге выбрали систему по результатам оценок и текущих реалий по санкциям ?
На самом деле не важно госконтора или нет. В ИТ-ландшафте могут быть и как показала практика есть такие enterprise legacy-системы, которые просто не могут взаимодействовать с внешним миром по другим протоколам/форматам. И в этом случае вам ничего не останется как делать адаптер для такой системы, который внутри уже реализует трансформацию из SOAP/XML -> REST/JSON
Спасибо. Обязательно будет продолжение
Спасибо. Уточните, что именно по работе API было бы интересно прочитать? Как создать, опубликовать API, подписаться, получить access_token и вызвать API? Или что-то другое ?
Как указано в статье, API Manager можно развернуть как для внешних подключений, так и для внутреннего использования. Каким образом это реализовать решается внутри Банка (это может быть сделано как в DMZ, так и через reverse-proxy)
Хранения ПДн нет, так как это слой интеграции. А вопрос сертификации - это опять же зона ответственности команды информационной безопасности Банка. Но это не является сложной задачей или каким стоп-фактором. Все решается при необходимости.
В части защиты ПДн все просто. Этот вопрос решается на стороне ИБ. Платформа "из коробки" не поддерживает шифрование ГОСТ. Но этого и не требуется. Если нужно использовать ГОСТ-шифрование при передаче ПДн, то для этих целей необходимо использовать программно-аппаратные средства (ФПСУ-IP, С-Терра и другие), которые имеют соответствующую сертифицикацию. В этом случае между Банком и Партнёром будет настроен VPN-туннель с необходимым уровнем шифрования, который устроит ЦБ.