Este é um post para informar que acabou de sair do "forno" uma atualização da fase 2 do Open Banking no Brasil, para ser mais preciso, foram há algumas horas atrás:
A propósito, este é o repositório no GitHub das novidades do Banco Central: https://github.com/OpenBanking-Brasil/
Uma das grandes novidades é a API de Consentimento do Open Banking, agora especificada e disponível para podermos adaptar alguns clientes e nossos produtos da área de Open Banking pro Brasil.
O link do contrato Swagger é este aqui: https://openbanking-brasil.github.io/areadesenvolvedor-fase2/swagger/swagger_consents.yaml
Verificando o Score de Segurança do Contrato da API de Consentimento
Nós utilizamos a extensão gratuíta da extensão para o VS Code da 42Crunch, para verificar o relatório de auditoria de potenciais brechas de segurança no contrato swagger/open api spec que temos acesso. O relatório abaixo é difivido em 2 categorias:
Segurança - 0 a 30 pontos
Validação de Dados - 0 a 70 pontos
O Score vai de 0 a 100, e é possivel ver que esta API, por não ter passado por um processo de DevSecOps focado no contrato da API, pode se dizer que a API tem um score bom, se considerado algumas outras APIs que já verificamos. O Score atual é 47 de 100, veja abaixo:
Através da extensão do VSCode, e alguns ajustes de validações para não aceitarmos dados sem as devidas validações, faixas de aceitação, valores mínimos e máximos etc. Com estas ações será mais difícil para hackers e usuários maliciosos possam quebras as APIs dos bancos que tiverem esta atenção. Esta extensão da 42Crunch é gratuita.
Veja a nova versão depois de alguns minutos de validações, saimos de 47 e chegamos a 91 de 100, e acreditamos poderiamos chegar bem próximo ou até mesmo em 100.
Componentes do Skalena Consentment Gateway
Para integrar com a plataforma de Consentimento, nós usamos nossos recursos de OAuth2 e OpenID Connect, além de APIs integradas para entregar a melhor experiência possível para nossos clientes.
Além da seleção dos atributos que serão compartilhados, a qualquer momento os usuários podem revogá-los:
Interface para que o usuário possa selecionar o que quer manter como dado compartilhado, a data de validade e ainda o controle de recibo de pedido de revogação de dados.
Se pudermos ajudar na sua implementação da fase 2, ou ainda revisar a fase 1 e trabalharmos juntos nas fases 3 e 4, por favor, entre em contato com a gente: https://www.skalena.com/contato
Comments