Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Alguns links para as documentações de segurança encontram-se desatualizados. #267

Open
rafael-hashimoto opened this issue Oct 25, 2021 · 0 comments
Open

Alguns links para as documentações de segurança encontram-se desatualizados. #267

rafael-hashimoto opened this issue Oct 25, 2021 · 0 comments

Comments

@rafael-hashimoto
Copy link

rafael-hashimoto commented Oct 25, 2021
edited
Loading

diff --git a/documentation/source/includes/partials_open_banking/_open_banking_fase3_apis.md.erb b/documentation/source/includes/partials_open_banking/_open_banking_fase3_apis.md.erb
index c9c2c94e..ec2ae959 100644
--- a/documentation/source/includes/partials_open_banking/_open_banking_fase3_apis.md.erb
+++ b/documentation/source/includes/partials_open_banking/_open_banking_fase3_apis.md.erb
@@ -134,11 +134,11 @@ A iniciadora não deve usar comportamento idempotente do POST para pesquisar o s

Estabelece TLS

Toda comunicação máquina-a-máquina (m2m) usará mTLS, conforme RFC rfc8705 e detalhado na especificação de segurança:

POST /tokens - Pedido de access_token e scope: payments, openid

Antes de começar o fluxo de iniciação de pagamento, a Instituição Iniciadora deverá ter se cadastrado como client na Instituição Detentora da Conta, em acordo com o especificado para o Registro Dinâmico de -Open Banking Brasil Financial-grade API Dynamic Client Registration 1.0 Implementers Draft 1.
+Open Banking Brasil Financial-grade API Dynamic Client Registration 1.0 Implementers Draft 2.
Uma vez cadastrada, a Instituição Iniciadora deverá obter o token de acesso (access_token) pelo fluxo de client credentials, conforme especificado pela RFC 6749 (rfc6749), com os escopos payments e openid.

Valida certificado SSL e scopes

@@ -227,7 +227,7 @@ Para evitar vazamento de informação, a detentora deve validar que o pagamento

No contexto da API Payment Initiation, os payloads de mensagem de consentimento e de pagamento que trafegam tanto por parte da instituição iniciadora de transação de pagamento quanto por parte da instituição detentora de conta devem estar assinados. Abaixo temos as orientações para assinatura das mensagens JWS.

-Informações complementares de segurança podem ser consultadas em https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/open-banking-brasil-financial-api-1_ID2-ptbr.md.
+Informações complementares de segurança podem ser consultadas em https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/open-banking-brasil-financial-api-1_ID3-ptbr.md.

  • Passo 1 - Identifique a chave privada e o certificado de assinatura correspondente a serem usados para assinatura:

diff --git a/documentation/source/includes/partials_security_guide/_dynamic_client_registration.md.erb b/documentation/source/includes/partials_security_guide/_dynamic_client_registration.md.erb
index 636574ff..b86c8b4f 100644
--- a/documentation/source/includes/partials_security_guide/_dynamic_client_registration.md.erb
+++ b/documentation/source/includes/partials_security_guide/_dynamic_client_registration.md.erb
@@ -6,4 +6,4 @@ Os detalhes das especificações devem ser consultadas nos endereços:

https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-dynamic-client-registration-1_ID2-ptbr.html (em português).

-https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-dynamic-client-registration-1_ID1.html (em inglês).
+https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-dynamic-client-registration-1_ID2.html (em inglês).
diff --git a/documentation/source/includes/partials_security_guide/_signatures.md.erb b/documentation/source/includes/partials_security_guide/_signatures.md.erb
index 89db40b9..20c9010d 100644
--- a/documentation/source/includes/partials_security_guide/_signatures.md.erb
+++ b/documentation/source/includes/partials_security_guide/_signatures.md.erb
@@ -3,6 +3,6 @@
Sobre os certificados exigidos para assinatura de mensagens - Padrões de certificados digitais Open Banking Brasil:
https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/open-banking-brasil-certificate-standards-1_ID1.md#certificado-de-assinatura-certificadoassinatura

-Sobre os algoritmos usados para assinatura de mensagens JWS - Perfil de segurança FAPI - Open Banking Brasil: https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/open-banking-brasil-financial-api-1_ID1.md#algorithm-considerations
+Sobre os algoritmos usados para assinatura de mensagens JWS - Perfil de segurança FAPI - Open Banking Brasil: https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/open-banking-brasil-financial-api-1_ID3.md#algorithm-considerations

Sobre mensagens assinadas, JWS e JWKS - Guia de usuário (Receptoras e iniciadoras de pagamento): https://github.com/OpenBanking-Brasil/specs-seguranca/blob/main/tpp-user-guide.md#143-what-is-a-jwt-jwe-jws-and-jwk
\ No newline at end of file
LucasRodriguesMirow pushed a commit that referenced this issue Oct 28, 2021
@rafaelmiron
Merge pull request #267 from Sensedia/ORB-431
458068a 
[ORB-431] Atualização dos problemas conhecidos
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@rafael-hashimoto