Структура документа
Весь документ

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

СТАНДАРТ БАНКА РОССИИ

СТО БР ФАПИ.СЕК-1.6-2020

БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ

ПРИКЛАДНЫЕ ПРОГРАММНЫЕ ИНТЕРФЕЙСЫ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ФИНАНСОВЫХ СЕРВИСОВ
НА ОСНОВЕ ПРОТОКОЛА OPENID

ТРЕБОВАНИЯ

Financial-grade API Security. Requirements

Дата введения - 2020-XX-XX

ПРЕДИСЛОВИЕ

1. РАЗРАБОТАН Ассоциацией развития финансовых технологий (Ассоциация ФинТех) и открытым акционерным обществом "Информационные технологии и коммуникационные системы" (ОАО "Инфо-ТеКС") при участии Банка России.

2. ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ приказом Банка России от "09" октября 2020 года N ОД-1650

3. ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru).

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Центрального банка Российской Федерации.

ВВЕДЕНИЕ

Настоящий стандарт разработан на основе спецификаций организации OpenID Foundation (OIDF), которая продвигает и поддерживает сообщество и технологии OpenID (OpenID Connect Core (OIDC), OpenID Connect Discovery (OIDD) и другие), и определяет порядок использования модели прикладных программных интерфейсов (application programming interface, API) со структурированными данными и модель токена для повышения безопасности финансовых технологий.

1. ОБЛАСТЬ ПРИМЕНЕНИЯ
2. НОРМАТИВНЫЕ ССЫЛКИ
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
4. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
5. ОБЩИЕ ПОЛОЖЕНИЯ
6. ПРОФИЛЬ БЕЗОПАСНОСТИ OPENID API ДЛЯ ДОСТУПА К СЕРВИСАМ В РЕЖИМЕ ТОЛЬКО ДЛЯ ЧТЕНИЯ
6.1. ВВОДНАЯ ИНФОРМАЦИЯ
6.2. ПОЛОЖЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ АВТОРИЗАЦИИ
6.3. ТРЕБОВАНИЯ К ДОСТУПУ К ЗАЩИЩЕННЫМ РЕСУРСАМ ТОЛЬКО ДЛЯ ЧТЕНИЯ
7. ПРОФИЛЬ БЕЗОПАСНОСТИ OPENID API ДЛЯ ДОСТУПА К СЕРВИСАМ В РЕЖИМЕ ЧТЕНИЯ И ЗАПИСИ
7.1. ВВОДНАЯ ИНФОРМАЦИЯ
7.2. ПОЛОЖЕНИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ АВТОРИЗАЦИИ
7.3. ТРЕБОВАНИЯ К ДОСТУПУ К ЗАЩИЩЕННЫМ РЕСУРСАМ ДЛЯ ЧТЕНИЯ И ЗАПИСИ (С ИСПОЛЬЗОВАНИЕМ ТОКЕНОВ)
7.4. КОНЕЧНАЯ ТОЧКА ОБЪЕКТА ЗАПРОСА
8. ЗАЩИЩЕННЫЙ С ИСПОЛЬЗОВАНИЕМ JWT РЕЖИМ ОТВЕТА НА ЗАПРОС АВТОРИЗАЦИИ ДЛЯ OAUTH 2.0 (JARM)
8.1. РЕЖИМ ОТВЕТА НА ОСНОВЕ JWT
8.2. МЕТАДАННЫЕ КЛИЕНТА
8.3. МЕТАДАННЫЕ СЕРВЕРА АВТОРИЗАЦИИ