Quais os padrões de segurança no open banking?

You are currently viewing Quais os padrões de segurança no open banking?

As novidades dos novos sistemas financeiros prometem melhorias para os clientes e instituições. Mas como fica a questão da segurança do open banking?

Já que esse modelo permite que dados e serviços sejam compartilhados entre as instituições financeiras, é importante conhecer os mecanismos aplicados para evitar o vazamento ou mau uso dessas informações.

Por isso, no artigo de hoje vamos falar sobre os aspectos de segurança no open banking, entendendo melhor sobre como funcionam e quais os padrões aplicados.

Acompanhe para saber mais.

Segurança no open banking: como funciona

Aqui no blog do Focus NFe já falamos especificamente sobre o open banking. Como em outros sistemas digitais, esse também depende de diversos requisitos técnicos para estabelecer um alto nível de confiabilidade.

Nesse aspecto, entram sistemas de autenticação, autorização e os frameworks e protocolos que irão promover a troca segura dos dados.

Para compreender como isso funciona, é preciso estar por dentro das normas e padrões técnicos que serão exigidos. Alguns dos elementos principais são:

Além disso, é preciso que as instituições que pretendem implementar o Open Banking realizem seu cadastro no Diretório de Participantes. Dessa forma, podem solicitar um certificado digital que permitirá o acesso por meio das APIS.

Padrões de segurança no open banking

São quatros os padrões de segurança usados dentro do sistema Open Banking: Oauth 2.0, OpenID Connect 2.0, FAPI e CIBA.

Vamos definir as funções de cada um deles a seguir.

Oauth 2.0

Esse é o sistema que permite a terceiros obter acesso limitado a um HTTP.

Sua função principal é permitir a segurança na autenticação e autorização dos dados, usando fluxo de mensagens JSON e HTTP.

OpenID Connect 2.0

Esse padrão de segurança usa os fluxos de mensagem fornecidos pelo Oauth 2.0 para realizar validações de identidade.

Quando um usuário externo tentar acessar o sistema, o OpenID Connect recebe dados verificáveis sobre identidade, para então validá-los.

Financial-grade API (FAPI)

É uma especificação de segurança própria do setor financeiro. 

Essa configuração se aplica tanto a contas comerciais quanto a contas de seguros, investimentos e aos cartões de crédito.

Trata-se de um perfil de segurança aprimorado, usando o modo de dados REST/JSON com proteção do Oauth de maior segurança.

Client Initiated Backchannel Authentication (CIBA)

Por fim, temos o CIBA, que é a especificação de segurança que define os meios de autorização.

O fluxo básico de autorização é o seguinte: o acesso é solicitado, seguido da autenticação do usuário e, por fim, a confirmação de consentimento.

No modelo tradicional, todo esse processo é realizado em um mesmo dispositivo. Já no CIBA, esse fluxo pode ser feito em ambientes diferentes. Por isso é chamado de fluxo desacoplado.

Dessa forma, o acesso aos dados pode ser feito externamente, mas contando com a autenticação feita pelo cliente.
Confira mais conteúdos sobre documentos fiscais e SaaS em nosso blog.

Deixe um comentário