Цей розділ містить узгоджені правила протоколу та заходів безпеки для взаємодії учасників відкритого банкінгу України. Матеріал є українською адаптацією специфікацій Berlin Group та визначає базові вимоги і підходи, спільні для всіх сервісів.
Протокол функцій та заходів безпеки
Базові правила протоколу, безпеки, підписів повідомлень, SCA та авторизаційних процесів.
Терміни та скорочення
Терміни та скорочення, що використовуються в специфікації Open Banking Ukraine v2.1 для протоколу функцій та заходів безпеки.
2. Вступ
Документ визначає технічні стандарти, протоколи, функціональні можливості та заходи безпеки для забезпечення сумісності та безпечного обміну платіжною інформацією між ASPSP та TPP в межах базових API відкритого банкінгу в Україні.
3. Символи та позначення
Описано набори символів і типи даних, правила нотацій для запитів/відповідей, Base64/Base64url, поняття транзакції та сервісного ресурсу, а також позначення методів доступу до endpoints.
4. Архітектурний підхід REST API: основні принципи
Основні принципи REST API у відкритому банкінгу: де розміщувати параметри повідомлень, як побудовані endpoint-и, які headers використовуються, як досягається ідемпотентність, як застосовується HATEOAS, які HTTP коди підтримуються, та як трактуються мультивалютні рахунки й інтервали.
5. Обробка помилок
Описує загальні правила для header/body у випадках помилок та формат додаткової інформації про помилки через apiClientMessages і _links для HTTP 4XX/5XX.
6. Автентифікація API client та ASPSP на транспортному рівні
TLS 1.2+ із взаємною автентифікацією, використання QWAC, вимоги до Redirect URI та порядок перевірки авторизації PISP/AISP через АРІ НБУ (РПІ).
7. Підписання HTTP Request Message на рівні застосунку
Описано профіль підписання HTTP-запитів на рівні застосунку для PIS на основі JWS (RFC7515): вимоги до сертифікатів, заголовки Digest і x-jws-signature, структура JWS Protected Header, правила формування рядка підпису та приклад.
Посилена автентифікація PSU (SCA)
Описано header-параметри контексту та ідентифікації PSU, керування підходами SCA, Redirect/Decoupled підходи та OAuth2-потік (Authorization Code + PKCE, mTLS).
9. Процеси авторизації, що використовуються у всіх сервісах
Описано загальний підхід до запуску процесу авторизації (створення субресурсу authorisations) для ресурсів payments та consents, параметри запиту/відповіді та приклад.
10. Документи і посилання
Зовнішні документи, репозиторії та RFC/стандарти, на які посилається розділ «Протокол функцій та заходів безпеки» Open Banking Ukraine v2.1.