ESTE É UM CONTEÚDO EM DESENVOLVIMENTO E NÃO DEVE SER CONSIDERADO COMO VERSÃO FINAL!
Clique aqui para maiores informações
Aderência das APIs das instituições participantes às especificações funcionais e de segurança
item 2.2 - vii
Controle de versão
Versão | Data | Resumo das alterações |
1 | May 23, 2024 | Versão inicial |
Introdução e Objetivos
Esta métrica visa garantir que as APIs das instituições participantes do Open Finance em ambiente produtivo estejam aderentes às especificações funcionais e de segurança estabelecidas. A Estrutura Responsável pela Governança do Open Finance verifica e exige essa conformidade para assegurar a integridade, segurança e eficiência do ecossistema do Open Finance.
Sobre a Métrica
A métrica consiste na avaliação das APIs em ambiente produtivo das instituições participantes que estejam cadastradas no Diretório de Participantes do Open Finance. Seu objetivo é identificar desconformidades, ou seja, divergências entre as APIs publicadas em ambiente produtivo e as especificações funcionais e de segurança. A análise ocorre tanto no aspecto funcional quanto no de segurança das APIs.
Especificações Funcionais
Verificação dos endpoints de Consents e Payments
Verifica se todos os endpoints das APIs publicadas têm todos os endpoints publicados.
Verifica se os endpoints de consents e payments estão acessíveis e conformes.
Verificação do logotipo
Verifica se foi registrado um logotipo válido.
Confirma se o logo é acessível.
Valida se o logo é do tipo .svg e possui dimensões de no mínimo 512 de altura e 512 de largura.
Verificação do endpoint de Well-Known
Verifica se o endpoint de well-known cadastrado no Diretório está válido e acessível em ambiente produtivo na instituição participante.
Verificação dos scopes suportados
Valida se os scopes suportados pela instituição são válidos e declarados no well-known.
Compara os scopes com os family types cadastrados no diretório pela organização.
Verificação de fluxos de DCR
Verifica se o servidor de autorização da instituição realiza o fluxo DCR com diferentes configurações e se rejeita o fluxo DCR em cenários de erro.
Metodologia Simplificada
Para fins de monitoramento deste item, o período de apuração será mensal, conforme orientado pelo Manual de Monitoramento do Open Finance Brasil. A avaliação envolverá:
Verificação das Especificações Funcionais
Chamada aos endpoints de consents e payments, validação se as chamadas foram aceitas e se a resposta é válida, e verificação de respostas esperadas ao chamar o endpoint de payments-consents com diferentes tipos de parâmetros.
Verificação do logotipo registrado, acessibilidade e conformidade com as especificações (.svg, dimensões mínimas de 512x512).
Verificação se o endpoint de well-known está válido e acessível em ambiente produtivo.
Verificação das Especificações de Segurança
Verificação do fluxo DCR com diferentes configurações, validação da cadeia de certificados, e rejeição do fluxo DCR em cenários de erro.
Validação dos scopes suportados e comparação