Банк России опубликовал 13 декабря 2024 года новые стандарты безопасности для Открытых API, разработанные Ассоциацей ФинТех. Эти стандарты, вступающие в силу с 1 января 2025 года, будут носить рекомендательный характер.

К числу новых стандартов относятся СТО БР ФАПИ.СЕК-1.6-2024 «Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect» и СТО БР ФАПИ.ПАОК-1.0-2024 «Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу». Разработка этих стандартов осуществлялась экспертами АФТ и компании ИнфоТеКС при поддержке специалистов Банка России.

Стандарты обновлены на основе ранее действовавших редакций с учетом новых Методических рекомендаций ТК 26 «Криптографическая защита информации» МР.26.2.002 2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect».

Установленные в новых стандартах требования по информационной безопасности при взаимодействии через API, включая аутентификацию и авторизацию с использованием отечественной криптографии, будут способствовать созданию доверительной среды между участниками обмена информацией. Это, в свою очередь, позволит финансовым организациям обеспечить необходимый уровень защиты персональных данных и банковской тайны.

Стандарты содержат требования и рекомендации для безопасного доступа к данным в финансовых сервисах и предлагают единый подход к обеспечению информационной безопасности при использовании Открытых API.

Источник: АФТ