Обновленные стандарты безопасности открытых API, разработанные специалистами Ассоциации «ФинТех» и АО «ИнфоТеКС» при участии экспертов Банка России, не претерпели существенных изменений, но были улучшены в части криптографической защиты данных. Стандарты вступят в силу 1 января 2025 года и будут носить рекомендательный характер.
Банк России представил новые стандарты безопасности для открытых API: СТО БР ФАПИ.СЕК-1.6-2024 «Прикладные программные интерфейсы для обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect» и СТО БР ФАПИ.ПАОК-1.0-2024 «Прикладные программные интерфейсы для обеспечения безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу». Эти стандарты были разработаны экспертами Ассоциации Финансовой Технологии (АФТ) и компании «ИнфоТеКС» при участии специалистов Банка России.
В основу новых стандартов легли ранее действовавшие редакции. В процессе актуализации стандартов были пересмотрены их требования с учетом Методических рекомендаций ТК 26 «Криптографическая защита информации» МР.26.2.002?2024 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколах OpenID Connect».
В соответствии с установленными стандартами, требования к информационной безопасности при использовании прикладных программных интерфейсов (API), включая аутентификацию, идентификацию и авторизацию с применением отечественных криптографических методов, способствуют формированию атмосферы доверия между всеми участниками обмена данными через открытые программные интерфейсы (Open API). Это позволяет финансовым учреждениям гарантировать надлежащий уровень защиты информации при передаче персональных данных и банковской тайны.
В стандартах содержатся указания и советы, направленные на обеспечение надежного доступа к информации в финансовых сервисах. Также в них предлагается единый метод защиты данных при использовании Открытых API.