Приказ ЦБ №ОД-1616 от 07.10.2024 «Об утверждении Стандарта Банка России СТО БР ФАПИ.ПАОК-1.0-2024»

Приказ Центрального банка Российской Федерации от 07.10.2024 № ОД-1616 «Об утверждении Стандарта Банка России СТО БР ФАПИ.ПАОК-1.0-2024 “Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования”»

Ссылки

Выдержка

Разработан Ассоциацией развития финансовых технологий (Ассоциация ФинТех) и акционерным обществом «Информационные технологии и коммуникационные системы» (АО «ИнфоТеКС») при участии Центрального банка Российской Федерации (Банка России).
Принят и введен в действие приказом Банка России от 07.10.2024 № ОД-1616.
Взамен СТО БР ФАПИ.ПАОК-1.0-2021.

Обзоры документа

Аналитический центр УЦСБ

7 октября 2024 года были введены в действие стандарты Банка России:

СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (взамен СТО БР ФАПИ.СЕК-1.6-2020);
СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (взамен СТО БР ФАПИ.ПАОК-1.0-2021).

Стандарты разработаны для обеспечения безопасности при применении API и основаны на спецификациях технологии OpenID Connect Core. Стандарты содержат требования к организациям финансового рынка по обеспечению необходимого уровня защищенности информации при передаче ПДн и банковской тайны, а также рекомендованы к использованию при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде Открытых банковских интерфейсов.

СТО БР ФАПИ.СЕК-1.6-2024

СТО БР ФАПИ.СЕК-1.6-2024 содержит требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect.

Стандарт содержит профили безопасности, обеспечивающие определенный уровень доверия к идентификации и аутентификации в соответствии с СТО БР БФБО-1.8‑2024 при передаче финансовой информации, а именно:

базовый профиль безопасности OpenID API, обеспечивающий средний уровень доверия. Подходит для защиты API, при использовании которых не передаются банковская тайна или ПДн.
расширенный профиль безопасности OpenID API, обеспечивающий высокий уровень доверия. Подходит для защиты API, которые могут обрабатывать конфиденциальные данные или иметь повышенные требования к безопасности.

СТО БР ФАПИ.СЕК-1.6-2024 учитывает методические рекомендации МР.26.2.002‑2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect» и дополняет их в части требований при реализации взаимодействия с использованием Открытых банковских интерфейсов.

СТО БР ФАПИ.ПАОК-1.0-2024

СТО БР ФАПИ.ПАОК-1.0-2024 содержит дополнительные требования и рекомендации для обеспечения безопасного доступа к данным в финансовых сервисах реального времени с использованием модели REST/JSON, защищенной технологией авторизации OAuth 2.0, включая профилирующий ее протокол OpenID Connect при инициировании клиентом потока аутентификации по отдельному каналу.

Стандарт описывает:

реализацию OpenID Connect при аутентификации по отдельному каналу;
профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу. Данный профиль применяется как к базовому, так и к расширенному профилю безопасности СТО БР ФАПИ.СЕК-1.6-2024.

Гарант ПРАЙМ

Приведен стандарт ЦБ “Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OPENID CONNECT клиентом потока аутентификации по отдельному каналу. Требования”. Он введен в действие приказом ЦБ от 23 июля 2021 г.

Стандарт определяет порядок использования модели прикладных программных интерфейсов (application programming interface, API) со структурированными данными для повышения безопасности финансовых технологий в случае инициирования OpenID Connect клиентом потока аутентификации по отдельному каналу.

Его рекомендуется использовать при создании и оценке соответствия программных средств для обмена финансовыми сообщениями в среде открытых банковских интерфейсов.

Текст документа

Быстрый просмотр сохранённой копии

Хаб Злонова

Приказ ЦБ №ОД-1616 от 07.10.2024 «Об утверждении Стандарта Банка России СТО БР ФАПИ.ПАОК-1.0-2024»

Ссылки

Выдержка

Обзоры документа

Аналитический центр УЦСБ

Гарант ПРАЙМ

Текст документа

Обратные ссылки

Реклама (эксперимент)

Оглавление

Недавние НПА

Обзор изменений в законодательстве ИТ и ИБ за ноябрь 2024 года

420-ФЗ от 30.11.2024 «О внесении изменений в КоАП»

421-ФЗ от 30.11.2024 «О внесении изменений в УК РФ»

Информационное сообщение ФСТЭК России №240-22-5567 от 11.11.2024 «О внесении изменений в Требования о ЗИ, не составляющей гостайну, содержащейся в ГИС»

Обзор изменений в законодательстве за октябрь 2024 года

Реклама (эксперимент)