Aderência das APIs das instituições participantes às especificações funcionais e de segurança

item 2.2 - vii

Controle de versão

Versão

Data

Resumo das alterações

1

May 23, 2024

Versão inicial

Introdução e Objetivos

Esta métrica visa garantir que as APIs das instituições participantes do Open Finance em ambiente produtivo estejam aderentes às especificações funcionais e de segurança estabelecidas. A Estrutura Responsável pela Governança do Open Finance verifica e exige essa conformidade para assegurar a integridade, segurança e eficiência do ecossistema do Open Finance.

Sobre a Métrica

A métrica consiste na avaliação das APIs em ambiente produtivo das instituições participantes que estejam cadastradas no Diretório de Participantes do Open Finance. Seu objetivo é identificar desconformidades, ou seja, divergências entre as APIs publicadas em ambiente produtivo e as especificações funcionais e de segurança. A análise ocorre tanto no aspecto funcional quanto no de segurança das APIs.

Especificações Funcionais

Verificação dos endpoints de Consents e Payments

  • Verifica se todos os endpoints das APIs publicadas têm todos os endpoints publicados.

  • Verifica se os endpoints de consents e payments estão acessíveis e conformes.

Verificação do logotipo

  • Verifica se foi registrado um logotipo válido.

  • Confirma se o logo é acessível.

  • Valida se o logo é do tipo .svg e possui dimensões de no mínimo 512 de altura e 512 de largura.

Verificação do endpoint de Well-Known

  • Verifica se o endpoint de well-known cadastrado no Diretório está válido e acessível em ambiente produtivo na instituição participante.

Verificação dos scopes suportados

  • Valida se os scopes suportados pela instituição são válidos e declarados no well-known.

  • Compara os scopes com os family types cadastrados no diretório pela organização.

Verificação de fluxos de DCR

  • Verifica se o servidor de autorização da instituição realiza o fluxo DCR com diferentes configurações e se rejeita o fluxo DCR em cenários de erro.

Metodologia Simplificada

Para fins de monitoramento deste item, o período de apuração será mensal, conforme orientado pelo Manual de Monitoramento do Open Finance Brasil. A avaliação envolverá:

Verificação das Especificações Funcionais

  • Chamada aos endpoints de consents e payments, validação se as chamadas foram aceitas e se a resposta é válida, e verificação de respostas esperadas ao chamar o endpoint de payments-consents com diferentes tipos de parâmetros.

  • Verificação do logotipo registrado, acessibilidade e conformidade com as especificações (.svg, dimensões mínimas de 512x512).

  • Verificação se o endpoint de well-known está válido e acessível em ambiente produtivo.

Verificação das Especificações de Segurança

  • Verificação do fluxo DCR com diferentes configurações, validação da cadeia de certificados, e rejeição do fluxo DCR em cenários de erro.

  • Validação dos scopes suportados e comparação com os family types cadastrados no diretório pela organização.

Interpretação dos Resultados

Os resultados da métrica serão interpretados para verificar se as instituições estão aderentes às especificações funcionais e de segurança das APIs em ambiente produtivo. A análise incluirá:

Especificações Funcionais

Verificação dos endpoints de Consents

  • Chamada aos endpoints de consents e validação se as chamadas foram aceitas e se a resposta é válida.

Verificação dos Endpoints de Payments

  • Chamada aos endpoints de payments, se disponíveis pela instituição, e validação se as chamadas foram aceitas e se a resposta é válida.

  • Chamadas ao endpoint de payments-consents com diferentes tipos de parâmetros, como payments type igual a BAD, person type igual a INVALID, currency igual a XXX, utilizando uma data do passado, entre outros, para verificar se as respostas estão de acordo com o esperado, como retornar o código de erro 422 ou 400.

Verificação do logotipo

  • Verificação se foi registrado um logotipo válido.

  • Confirmação se o logo é acessível.

  • Validação se o logo é do tipo .svg e possui dimensões de no mínimo 512 de altura e 512 de largura.

Verificação dos endpoints de Well-Known

  • Verificação se o endpoint de well-known cadastrado no Diretório está válido e acessível em ambiente produtivo na instituição participante.ante.

Especificações de Segurança

Verificação do fluxo DCR

  • Verificação se o servidor de autorização da instituição realiza o fluxo DCR com diferentes configurações, como:

    • Configurações básicas e sem campos adicionais.

    • Alterando a ordem do parâmetro grant_types e adicionando o parâmetro opcional scopes.

    • Com campo opcional scopes em ordem diferente.

    • Chamada ao endpoint de token para receber um token.

Verificação da Cadeia de Certificados

  • Verificação se a cadeia de certificados retornados pelos endpoints do servidor de autorização (token, registro) e endpoints funcionais estão de acordo com a RFC5246 - 7.4.2.

  • Verificação se a CA é aceita pelo Open Finance Brasil.

  • Validação se todas as certificações de segurança necessárias estão publicadas no diretório.

  • Verificação se, para o novo perfil único, a instituição deve ter publicado exclusivamente a certificação BR-OF Adv. OP com Private Key, PAR (FAPI-BR v2).

Rejeição do Fluxo DCR em Cenários de Erro

  • Utilizando Software Statement Assertion com assinatura inválida.

  • Sem enviar o Software Statement Assertion.

  • Sem adicionar os certificados TLS do cliente, verificando se as chamadas GET e DELETE são recusadas ao não utilizar os certificados TLS.

  • Adicionando um certificado TLS não confiável, verificando se as chamadas GET e DELETE são recusadas ao utilizar um certificado TLS não confiável.

  • Sem enviar o redirect_uri.

  • Com um jwks_uri não presente no diretório.

  • Enviando um jwks by_value.

  • Utilizando um certificado emitido pela PKI do Diretório de Participantes em ambiente de Sandbox.

  • Tentando registrar o DCR novamente, pois não devem ser permitidos múltiplos clients.

  • Utilizando um certificado revogado pela CA.

  • Após a deleção do client, executando as chamadas de GET e DELETE esperando a recusa às chamadas.

  • Nas chamadas de GET e DELETE ao utilizar um access token inválido.

Verificação dos scopes Suportados

  • Validação se os scopes suportados pela instituição são válidos e declarados no well-known.

  • Comparação dos scopes com os family types cadastrados no diretório pela organização.

 

Exemplo Ilustrativo

Considere uma instituição em que o servidor de autorização não rejeite o fluxo DCR ao utilizar um Software Statement Assertion com assinatura inválida. Mesmo que todos os outros critérios estejam em conformidade, a métrica consideraria a instituição em desconformidade devido a esse único item não atendido. Em caso de desconformidade com algum dos critérios, a métrica deverá destacar o item em questão como um ponto de atenção.

Dados e Fontes

Para o cálculo da métrica, utilizam-se os dados obtidos a partir do Diretório de Participantes e da Ferramenta de Validação de Produção (FVP). A FVP gera logs detalhados sobre o sucesso ou falha dos cenários de testes executados. Esses logs são consolidados na Plataforma Analítica de Dados (PAD), um repositório centralizado que serve como base para a análise e avaliação da métrica. A combinação dessas fontes de dados permite uma avaliação precisa da métrica e um monitoramento efetivo da conformidade regulatória no contexto do Open Finance.

Limitações e Considerações

Atualmente, não há visibilidade ou conhecimento de limitações ou considerações adicionais para esta métrica. A análise será continuamente revisada e aprimorada conforme novos dados e informações se tornem disponíveis.

Responsável pela Aprovação

Squad Sandbox