ROZWIĄZANIA BEZPIECZEŃSTWA W POLISH API A STANDARD OAUTH2

FB_psd2_v2.png

Read the text in English.

Dyrektywa PSD2 uprawnia „podmioty trzecie” (Third Party Provider, TPP) do pobierania od klientów informacji o ich rachunkach bankowych, by móc im następnie świadczyć swoje usługi. W tym celu TPP musi zawrzeć z klientem umowę zezwalającą na dostęp do danych, a dopiero na jej podstawie zwracać się do banków o ich wydanie.

Dyrektywa PSD2 nakłada na bank obowiązek otwarcia się na Małe Instytucje Płatnicze (MIP) oraz udzielenia takiego dostępu. Musi być jednak spełnionych kilka warunków. Bank ustala tożsamość klienta TPP, sprawdza zakres udzielonego przez niego dostępu i potwierdza udostępnienie danych mechanizmem silnego uwierzytelnienia (SCA).

Proponowane bankom przez Polish API rozwiązania bezpieczeństwa (mechanizm uwierzytelniania klienta po stronie ASPSP Polish API) czerpią ze standardu OAuth2. Wprowadzają jednak szereg odstępstw takich jak rozbicie przekierowania użytkownika na adres autoryzacyjny na dwa kroki czy modyfikacja usługi wywołania tokenów oraz wprowadzenie nowej funkcjonalności, tzw., exchange token.

Zrozumienie standardu OAuth2 może być bardzo cenne przy wdrożeniu mechanizmów autoryzacji Polish API. Szerzej o analogiach między standardami - w artykule autorstwa Grzegorza Abramczyka, Architekta IT w TUATARA, na geek.justjoin.it – zapraszamy do lektury, jak również do zapoznania się z pierwszą jego publikacją na temat dyrektywy PSD2.