Cyberbezpieczeństwo

Troska o bezpieczeństwo stanowi filar Polish API

Karol Jerzy Mórawski | aleBank.pl
Troska o bezpieczeństwo stanowi filar Polish API
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Otwarcie rynku płatniczego będące następstwem ogłoszenia przez władze wspólnotowe dyrektywy PSD2 stanowi wyzwanie dla całego sektora finansowego. Stawką jest zapewnienie najwyższego poziomu bezpieczeństwa wykonywanych operacji oraz ochrona środków zgromadzonych na rachunkach klientów banków, przy równoczesnym dopuszczeniu podmiotów trzecich do zbiorów informacji dotyczących klientów instytucji finansowych.

#MaciejKostro: Doświadczenia polskich instytucji finansowych zostały wykorzystane przy tworzeniu #PolishAPI #ZBP #ForumBB #PSD2 @uknf

Otwarcie rynku płatniczego będące następstwem ogłoszenia przez władze wspólnotowe dyrektywy PSD2 stanowiło niezwykle poważne wyzwanie dla całego sektora finansowego. Stawką było utrzymanie najwyższego poziomu bezpieczeństwa wykonywanych operacji oraz ochrony środków zgromadzonych na rachunkach klientów banków, przy równoczesnym dopuszczeniu podmiotów trzecich do zasobów tradycyjnych instytucji finansowych.

Kluczem do pogodzenia tych dwóch celów jest właściwa konstrukcja interfejsu programowania aplikacji (API), służącego komunikacji pomiędzy różnymi podmiotami rynku płatniczego. W Polsce taką funkcję pełni Polish API- jedno z pionierskich przedsięwzięć tego typu w skali europejskiej, stworzone przez Związek Banków Polskich wraz z bankami oraz toczenia okołobankowego.

Jakie działania podjęto w toku tworzenia tego instrumentu, by zagwarantować jak najwyższy poziom ochrony danych, dzięki czemu sektor bankowy dalej może posiadać status instytucji zaufania publicznego? Na to pytanie odpowiedział Maciej Kostro, doradca zarządu Związku Banków Polskich.

Karol Jerzy Mórawski: W jaki sposób wymogi bezpieczeństwa uwzględnione zostały podczas tworzenia Polish API?

Maciej Kostro: Troska o bezpieczeństwo stanowiła jeden z filarów Polish API i zarazem jeden z najistotniejszych powodów, dla których w ogóle zostały rozpoczęte prace nad tym standardem.

Uczestnicy projektu doszli do wniosku, że trzeba w pierwszej kolejności stworzyć jednolite ramy w obszarze bezpieczeństwa, żeby nie dopuścić do sytuacji, w której poszczególne podmioty na rynku będą usiłowały samodzielnie wdrażać w tym obszarze własne rozwiązania, o niezwykle zróżnicowanym poziomie jeśli chodzi o zapewnienie ochrony.

W związku z tym opracowany został standard, który oczywiście co do zasady musi uwzględniać pewne elementy z zakresu bezpieczeństwa. W tym właśnie kontekście dokonaliśmy analizy i zdecydowaliśmy się na wprowadzenie własnych mechanizmów.

Jakie to rozwiązania, i czym różnią się od schematów stosowanych w podobnych przypadkach?

W zasadzie najbardziej rozpowszechnionym standardem przygotowania interfejsów programistycznych są tak zwane interfejsy restowe, czyli takie, które umożliwiają wykorzystanie w dosyć dużej mierze przekazywanie informacji w ramach nagłówków http. Jest to ogólnie przyjęta metoda, która jednak może w pewnych sytuacjach budzić wątpliwości, dlatego w kontekście Polish API zrezygnowaliśmy z pełnej zgodności z rynkowym standardem API na rzecz zamknięcia wszystkich informacji, które są przekazywane przez obie strony w ciele samego zapytania.

Co do zasady wszystkie informacje, których żąda trzecia strona i które później przekazuje bank, zostały zawarte  w ciele żądania. Ponadto połączenie jest za każdym razem nawiązywane i zestawione bezpiecznie za pośrednictwem kanału TLS, a każda informacja musi być podpisana podpisem elektronicznym.

To też jest pewna różnica w stosunku do standardów, które na przykład obowiązują w innych krajach europejskich, gdzie ten podpis elektroniczny jest opcjonalny.

W naszym standardzie doszliśmy do wniosku, że każde żądanie musi być podpisane. Podsumowując, należy wskazać trzy bardzo istotne elementy bezpieczeństwa w naszym rozwiązaniu.

Pierwszym jest połączenie szyfrowane TLS-owe, oparte o wzajemne uwierzytelnienie obydwu stron, drugim podpis elektroniczny pod każdym żądaniem i wreszcie trzecim rezygnacja z zapytań typu GET w ramach komunikacji

Jakie jeszcze rozwiązania zwiększające poziom ochrony uwzględnione zostały w ramach Polish API?

Pewne zalecenia dotyczące bezpieczeństwa znalazły się w dokumentacji standardu. Cały rozdział 6 specyfikacji Polish API został poświęcony właśnie tej problematyce, określa on najbardziej podstawowe wymagania związane z przygotowaniem rozwiązania, które będzie bazowało na standardzie.

Te zalecenia nie odbiegają od tego co jest obecne na rynku, w szczególności na rynku instytucji finansowych. Jesteśmy przekonani, że instytucje finansowe, które są zobligowane do tego, by udostępniać otwarte interfejsy programistyczne, mają olbrzymie doświadczenie w udostępnianiu rozwiązań IT dla dużych grup klientów.

To doświadczenie z pewnością zaprocentuje i interfejsy te będą udostępniane w oparciu o nasz standard, co z kolei przełoży się na dochowanie najwyższego poziomu bezpieczeństwa. Warto zresztą przypomnieć, że doświadczenia polskich instytucji finansowych zostały wykorzystane przy tworzeniu Polish API.

Źródło: aleBank.pl