Certificação funcional e de segurança das APIs das instituições participantes
item 2.2 iii
Controle de versão
Versão | Data | Resumo das alterações |
1 | May 23, 2024 | Versão inicial |
Introdução e Objetivos
Esta métrica visa garantir que as instituições participantes do Open Finance certifiquem suas APIs, conforme a versão em vigor. A Estrutura Responsável pela Governança do Open Finance exige essa conformidade para assegurar a integridade, segurança e eficácia do ecossistema do Open Finance.
Sobre a Métrica
A métrica leva em conta vários critérios para determinar a conformidade das APIs das instituições participantes. Para que uma instituição esteja em conformidade com essa métrica, todos os critérios a seguir devem ser cumpridos com sucesso para cada uma de suas marcas. A Estrutura Responsável pela Governança do Open Finance verifica e exige que as certificações estejam corretas e atualizadas.
Certificação Funcional
Valida se a URI de certificação funcional está correta de acordo com a API ‘<api>’ e versão ‘<major>’.
https://github.com/OpenBanking-Brasil/conformance/)(blob|raw)(/main/submissions/functional/)(<api>/)(<major>.\d.\d)(.*)(<month>)(-)(<year>)((.zip)|(.json))
Verifica se a versão major disponível na URI da certificação funcional é a mesma, quando comparada com a versão major da API publicada.
Certificação de Segurança
Verifica se a URI da certificação de segurança está registrada corretamente no cadastro do servidor de autorização do Diretório de Participantes.
Valida se as certificações de segurança estão corretamente registradas no Diretório, verificando se a data de certificação está de acordo com a data do link e se a certificação não está expirada (com mais de 1 ano desde a data do link).
Metodologia Simplificada
Para fins de monitoramento deste item, o período de apuração será no momento da detecção da desconformidade, conforme orientado pelo Manual de Monitoramento do Banco Central do Brasil. A metodologia de análise envolve:
Certificação Funcional: Validação se a URI de certificação funcional está correta e se a versão major disponível na URI corresponde à versão major da API publicada.
Certificação de Segurança: Verificação se a URI da certificação de segurança está registrada corretamente no cadastro do servidor de autorização do Diretório de Participantes e validação se as certificações de segurança estão corretas e não expiradas.
Interpretação dos Resultados
Os resultados da métrica serão interpretados para verificar se as instituições estão cumprindo os critérios de conformidade para a certificação funcional e de segurança das APIs. A métrica avalia a existência das seguintes hipóteses de falha:
Certificação Funcional
Incorrect API Certification URI
A métrica avalia se a URI de certificação funcional não está correta de acordo com a API e versão especificadas.
A desconformidade é pontuada se a URI não seguir o formato esperado ou se a versão major disponível na URI não corresponder à versão major da API publicada.
Certificação de Segurança
Missing Security Certifications
A métrica avalia se a URI da certificação de segurança não está registrada corretamente no cadastro do servidor de autorização do Diretório de Participantes.
Incorrect Certification URI
A métrica avalia se a URI da certificação de segurança não está seguindo o formato correto ou não está acessível.
Missing CertificationStartDate
A métrica avalia se a data de certificação de segurança não está devidamente preenchida no diretório.
Incorrect CertificationStartDate
A métrica avalia se a data de certificação de segurança está correta e não expirada (com mais de 1 ano desde a data do link).
Exemplo Ilustrativo
Considerando uma instituição em que a URI da certificação de segurança não esteja registrada corretamente no cadastro do servidor de autorização do Diretório. Mesmo que todos os outros critérios estejam em conformidade, a métrica consideraria a instituição em desconformidade devido a esse único item não atendido. Em caso de desconformidade com algum dos critérios, a métrica deverá destacar o item em questão como um ponto de atenção.
Dados e Fontes
Para o cálculo da métrica, utilizam-se os dados obtidos a partir do Diretório de Participantes e da Ferramenta de Validação de Produção (FVP). A FVP gera logs detalhados sobre o sucesso ou falha do cenários de testes executados. Esses logs são consolidados na Plataforma Analítica de Dados (PAD), um repositório centralizado que serve como base para a análise e avaliação da métrica. A combinação dessas fontes de dados permite uma avaliação precisa da métrica e um monitoramento efetivo da conformidade regulatória no contexto do Open Finance.
Limitações e Considerações
Atualmente, não há visibilidade ou conhecimento de limitações ou considerações adicionais para esta métrica. A análise será continuamente revisada e aprimorada conforme novos dados e informações se tornem disponíveis.
Responsável pela Aprovação
Squad Sandbox