/
Aderência das APIs das instituições participantes às especificações funcionais e de segurança

ESTE É UM CONTEÚDO EM DESENVOLVIMENTO E NÃO DEVE SER CONSIDERADO COMO VERSÃO FINAL!
Clique aqui para maiores informações

Aderência das APIs das instituições participantes às especificações funcionais e de segurança

item 2.2 - vii

Controle de versão

Versão

Data

Resumo das alterações

1

May 23, 2024

Versão inicial

Introdução e Objetivos

Esta métrica visa garantir que as APIs das instituições participantes do Open Finance em ambiente produtivo estejam aderentes às especificações funcionais e de segurança estabelecidas. A Estrutura Responsável pela Governança do Open Finance verifica e exige essa conformidade para assegurar a integridade, segurança e eficiência do ecossistema do Open Finance.

Sobre a Métrica

A métrica consiste na avaliação das APIs em ambiente produtivo das instituições participantes que estejam cadastradas no Diretório de Participantes do Open Finance. Seu objetivo é identificar desconformidades, ou seja, divergências entre as APIs publicadas em ambiente produtivo e as especificações funcionais e de segurança. A análise ocorre tanto no aspecto funcional quanto no de segurança das APIs.

Especificações Funcionais

Verificação dos endpoints de Consents e Payments

  • Verifica se todos os endpoints das APIs publicadas têm todos os endpoints publicados.

  • Verifica se os endpoints de consents e payments estão acessíveis e conformes.

Verificação do logotipo

  • Verifica se foi registrado um logotipo válido.

  • Confirma se o logo é acessível.

  • Valida se o logo é do tipo .svg e possui dimensões de no mínimo 512 de altura e 512 de largura.

Verificação do endpoint de Well-Known

  • Verifica se o endpoint de well-known cadastrado no Diretório está válido e acessível em ambiente produtivo na instituição participante.

Verificação dos scopes suportados

  • Valida se os scopes suportados pela instituição são válidos e declarados no well-known.

  • Compara os scopes com os family types cadastrados no diretório pela organização.

Verificação de fluxos de DCR

  • Verifica se o servidor de autorização da instituição realiza o fluxo DCR com diferentes configurações e se rejeita o fluxo DCR em cenários de erro.

Metodologia Simplificada

Para fins de monitoramento deste item, o período de apuração será mensal, conforme orientado pelo Manual de Monitoramento do Open Finance Brasil. A avaliação envolverá:

Verificação das Especificações Funcionais

  • Chamada aos endpoints de consents e payments, validação se as chamadas foram aceitas e se a resposta é válida, e verificação de respostas esperadas ao chamar o endpoint de payments-consents com diferentes tipos de parâmetros.

  • Verificação do logotipo registrado, acessibilidade e conformidade com as especificações (.svg, dimensões mínimas de 512x512).

  • Verificação se o endpoint de well-known está válido e acessível em ambiente produtivo.

Verificação das Especificações de Segurança

  • Verificação do fluxo DCR com diferentes configurações, validação da cadeia de certificados, e rejeição do fluxo DCR em cenários de erro.

  • Validação dos scopes suportados e comparação