Стандарты открытых API
Комплекс стандартов
Управление
Согласование, утверждение и публикация контрольных экземпляров Стандартов Открытых банковских интерфейсов осуществляется Банком России.
Получение информации о счете клиента третьей стороной
Содержит модель данных и ключевые справочники для передачи информации по счетам клиента, а также примеры использования Стандарта.
Ключевые ресурсы, представленные в Стандарте: согласие на доступ к счету, счета, баланс, транзакции, выписки. Архитектура среды Открытых банковских интерфейсов соответствует концепции RESTful API.
Стандарт описывает структуру данных и пошаговое описание процесса при обмене информацией о счетах клиентов в среде Открытых API.
Пользователь предоставляет доступ к своим данным. Для этого:
- Выбирает, к каким данным он готов предоставить доступ, проставив разрешения.
- Выбирает срок действия разрешений на использование данных.
- Выбирает даты начала и окончания, которые будут использоваться при построении отчетов по спискам транзакций и выпискам.
Разработан на основе лучших международных практик и в соответствии с российской спецификой учета на финансовом рынке.
Учитываются требования российского законодательства, регулирующих и надзорных органов.
Инициирование платежей
Содержит модель данных и ключевые справочники для передачи инициирования платежа с согласия клиента, а также примеры использования Стандарта. Ключевой ресурс, представленный в Стандарте: внутренние переводы денежных средств.
Стандарт описывает структуру данных и пошаговое описание процесса инициирования платежей в среде Открытых API.
В процессе инициирования платежа СППУ:
- Создает ресурс согласия для инициирования платежа.
- Подтверждает достаточность средств для осуществления платежа (при взаимодействии с ППУ).
- Подтверждает инициирование платежа и отправляет его на обработку.
- Получает статус осуществления платежа.
- Получает статус согласия на проведение платежа.
Стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями, связанными с переводом денежных средств в валюте Российской Федерации.
Разработан на основе лучших международных практик и в соответствии с российской спецификой учета на финансовом рынке.
Учитываются требования российского законодательства, регулирующих и надзорных органов.
Информационная безопасность (базис)
Требования к информационной безопасности: Гармонизация международного стандарта FAPI (Financial-grade API) через Технический комитет №122 «Стандарты финансовых организаций» и Технический комитет №26 «Криптографическая защита информации».
OpenID Connect: Идентификация и аутентификация пользователей.
OAuth 2.0: Авторизация (проверка прав доступа к данным и функциям сервисов).
JWT: Стандарт токенов ключей доступа.
TLS: Криптографический протокол передачи данных для установления защищенных соединений.
Учет требований российского законодательства, регулирующих и надзорных органов, а также лучших мировых практик и рекомендаций, в том числе по аутентификации пользователей и сторон взаимодействия, идентификации, авторизации, шифрованию, безопасности инфраструктуры провайдера и потребителей API, разработке безопасного ПО, управлению уязвимостями и оценке защищенности и др.
Применение модели угроз и нарушителя, учет размера риска нарушения информационной безопасности, описание матрицы доступа к различным категориям данных.
Обеспечение совместимости с различными технологиями, применяемыми участниками финансового рынка.