ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
СТАНДАРТ БАНКА РОССИИ
СТО БР ФАПИ.СЕК-1.6-2024
БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ
ПРИКЛАДНЫЕ ПРОГРАММНЫЕ ИНТЕРФЕЙСЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ФИНАНСОВЫХ СЕРВИСОВ НА ОСНОВЕ
ПРОТОКОЛА OPENID CONNECT
ТРЕБОВАНИЯ
ПРЕДИСЛОВИЕ
1. Разработан Ассоциацией развития финансовых технологий (Ассоциация ФинТех) и акционерным обществом "Информационные технологии и коммуникационные системы" (АО "ИнфоТеКС") при участии Центрального банка Российской Федерации (Банка России).
2. Принят и введен в действие приказом Банка России от 07.10.2024 N ОД-1615.
3. Взамен СТО БР ФАПИ.СЕК-1.6-2020.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29.06.2015 N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту, пересмотре (замене) или отмене стандарта размещается на сайте Банка России в сети Интернет (http://www.cbr.ru/).
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован или распространен в качестве официального издания без разрешения Банка России.
ВВЕДЕНИЕ
Настоящий стандарт разработан для применения кредитными организациями, некредитными финансовыми организациями, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке (далее - организации финансового рынка), прикладных программных интерфейсов (application programming interface, API) и основан на спецификациях технологии OpenID Connect Core (OIDC), которые определяют порядок использования модели API со структурированными данными и модели токена для повышения безопасности финансовых технологий.
Настоящий стандарт устанавливает требования к информационной безопасности при реализации взаимодействия с использованием API, обеспечивающие необходимый уровень защищенности информации при передаче персональных данных и банковской тайны.
Настоящий стандарт учитывает методические рекомендации МР.26.2.002-2024 Технического комитета по стандартизации 26 (ТК 26) "Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect" и дополняет в части требований информационной безопасности при реализации взаимодействия с использованием Открытых банковских интерфейсов.