¶ Предисловие
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от _____ 2025 года
№ _______ «О введении в действие новых редакций стандартов Банка
России и стандарта Банка России».
Настоящий Стандарт не может быть полностью или частично воспроизведен,
тиражирован и распространен в качестве официального издания без
разрешения Банка России.
¶ Введение
Стандарт содержит общее описание элементов, которые являются общими для всех API на получение информации о счете клиента третьей стороной.
¶ Область применения
Стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями, связанными с получением информации о банковском счете.
Настоящий стандарт предназначен для:
- участников получения информации о банковском счете юридических и физических лиц (кредитные организации и их клиенты, а также Сторонние поставщики);
- разработчиков информационного и программного обеспечения, информационных систем.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность их применения не установлена нормативными актами Банка России или условиями договоров.
Положения настоящего стандарта применяются совместно со следующими документами:
- СТО БР ФАПИ.СЕК-1.6-2024 Стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID" (далее ФАПИ.СЕК).
- СТО БР ФАПИ.ПАОК-1.0-2024 Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечения безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу" (далее ФАПИ.ПАОК).
- СТО БР Открытые программные интерфейсы. Общие положения.
- СТО БР Открытые программные интерфейсы. Глоссарий.
- СТО БР Открытые программные интерфейсы. Профили API для расширенного режима безопасности.
- СТО БР Открытые программные интерфейсы. Получение информации о счете клиента. Правила взаимодействия.
¶ Термины и определения
В Стандарте применяются термины и определения в соответствии со стандартами ФАПИ.СЕК, ФАПИ.ПАОК, «Открытые программные интерфейсы. Общие положения» а также следующие:
| Наименование | Описание |
|---|---|
| Поставщик платежных и информационных и услуг (ППИУ) | Поставщик платежных услуг, обслуживающий счет Пользователя и публикующий Открытые банковские интерфейсы для предоставления информации о данном счете и для осуществления переводов денежных средств. |
| Сторонний поставщик информационных услуг (СПИУ) | Хозяйствующий субъект (юридическое лицо), предоставляющее Пользователю услугу получения информации о банковском счете (счетах) Пользователя. Роль, исполняемая Сторонним поставщиком. |
| Разрешение | Текстовая константа, уникально определяющая области данных и операции с этими данными, запрашиваемые СПИУ для авторизации доступа. |
Таблица 1 - Термины и определения
¶ Ресурс согласия
¶ Определение
Ресурс согласия — это объект данных, представляющий разрешение, предоставленное Пользователем (или субъектом данных) третьей стороне (СПИУ) для доступа к определенным ресурсам или выполнения определенных действий от его имени. В контексте Открытых программных интерфейсов ресурс согласия является основным элементом, который управляет правами доступа и определяет, какие данные или операции разрешены.
¶ Состояние ресурса согласия
Состояние ресурса согласия на доступ к счету определяется кодом его статуса, который может иметь следующие значения:
| Значение | Описание |
|---|---|
| AwaitingAuthorisation | Ресурс согласия ожидает авторизации пользователя |
| Rejected | Ресурс согласия был отклонен |
| Authorised | Ресурс согласия был успешно авторизован |
| Revoked | Ресурс согласия был отозван |
: Таблица 2 - Состояния ресурса согласия на доступ к счету
Изменение состояний ресурса согласия на доступ к счету соответствует следующей модели:
Рисунок 2 - Диаграмма изменения состояний ресурса согласия на доступ к счету
исунок 2 - Диаграмма изменения состояний ресурса согласия на доступ к счету
После того как Пользователь авторизовал согласие, ППИУ изменяет статус ресурса на “Authorised”.
При отклонении согласия Пользователем, ППИУ изменяет статус ресурса согласия на “Rejected”.
После того как ресурс Пользователь отозвал согласия, ППИУ изменяет статус ресурса на “Revoked”.
¶ Срок действия согласия
expirationDateTime является необязательным полем, которое определяет срок истечения действия согласия для СПИУ на доступ к данным Пользователя в ППИУ.
expirationDateTime применяется ко всем разрешениям (кластерам данных), которые находятся в массиве ресурса согласия при его авторизации.
Если expirationDateTime не указано, то согласие на доступ к счету выдается Пользователем сроком не более, чем на 90 календарных дней. По истечении данного срока Пользователь должен пройти повторную аутентификацию на стороне своего ППИУ, откуда происходит передача данных Пользователя, и повторно авторизовать согласие или внести в него необходимые изменения. В случае если Пользователь не производит повторную аутентификацию и авторизацию согласия или не вносит в него изменения, действие такого согласия аннулируется и ППИУ архивирует согласие.
¶ Начальная/конечная дата доступа к операциям по счету
TransactionToDateTime и TransactionFromDateTime определяют согласие Пользователя на доступ к операциям по счету в определенный период времени. Оба поля являются необязательными, и одно поле может быть указано без другого.
ППИУ может ограничить доступ к операциям по счету за рамками указанного временного периода, при запросах к ресурсам, содержащих информацию об операциях по счету.
¶ Авторизация согласия
СПИУ создает ресурс согласия на доступ к счету с помощью метода POST и получения доступа client credentials. Этот ресурс определяет разрешения (permissions) к кластерам данных, которые присылает СПИУ от имени Пользователя. На начальном этапе согласие не авторизовано, поскольку ППИУ еще его не актуализировал и не авторизовал во взаимодействии непосредственно с самим Пользователем.
ППИУ отвечает сообщением, которое содержит идентификатор ресурса согласия consentId. Далее этот идентификатор используется при инициации доступа authorization code, который нужен для подтверждения Пользователем разрешений.
Во время получения доступа authorization code:
- ППИУ аутентифицирует Пользователя.
- ППИУ предоставляет согласие, полученное от СПИУ, Пользователю для непосредственной авторизации его на стороне ППИУ. Пользователь может авторизовать или отклонить согласие.
- ППИУ предоставляет Пользователю список доступных счетов, для предоставления информации СПИУ.
- Пользователь выбирает хотя бы один счет из списка и подтверждает авторизацию предоставления информации СПИУ.
Согласие на доступ счету считается авторизованным, если Пользователь выбрал хотя бы один счет и подтвердил авторизацию согласия.
¶ Повторная авторизация Согласия
¶ Возможность инициации аутентификации Пользователя
СПИУ может запросить у Пользователя аутентификацию для повторной авторизации Согласия, находящегося в состоянии «Authorised» в любой момент времени. Это может быть выполнено как до, так и после истечения срока действия базовых токенов. ППИУ может принимать данные запросы от СПИУ. После успешной повторной аутентификации согласия СПИУ не должен использовать токены доступа и токены обновления, которые ранее были выпущены для этого согласия. Когда ППИУ выдает новый токен доступа и токен обновления в результате повторной аутентификации согласия, он должен аннулировать ранее выпущенные токен доступа и токены обновления для этого согласия.
¶ Клиентский путь
При повторной авторизации Согласия Пользователь не должен изменять параметры Согласия (выбранные счета, разрешения и даты), клиентский путь должен быть ограничен только аутентификацией Пользователя и подтверждением Согласия.
¶ Поведение при потерянном токене обновления
Если Согласие уже авторизовано, а токен обновления утерян или более не действителен, то необходимо повторно авторизовать Согласие.
¶ Отзыв согласия
Пользователь может отозвать согласие на доступ к счету в любой момент времени.
Пользователь может отозвать авторизацию ресурса согласия напрямую на стороне ППИУ. Механизмы реализации данного процесса и процессов, связанных с отзывов токенов определяется при разработке сервера авторизации ППИУ. Если Пользователь отозвал авторизацию согласия на доступ к счету на стороне ППИУ, то статус ресурса account-consents меняется на «Revoked».
Пользователь может потребовать от СПИУ отозвать согласие. Если согласие будет отозвано на стороне СПИУ:
- СПИУ перестает обращаться к API с этого момента.
- СПИУ выполняет операцию DELETE для ресурса account-consent (до подтверждения отзыва согласия Пользователя), для информирования ППИУ об отзыве согласия.
ППИУ информирует ПКС об отзыве Согласия.
¶ Удаление недоступных счетов из согласия
Пользователь выбирает счета, к которым применяется согласие в момент авторизации согласия.
В случае, если счет, которому дано согласие перестает быть доступен для Пользователя, данный счет удаляется из списка предоставления доступа, но при этом ППИУ не отменяет доступ СПИУ к другим счетам, связанным с тем же авторизированным согласием.
¶ Взаимодействие с ПКС
ППИУ должен информировать ПКС об изменении статуса согласия в следующих случаях:
- При авторизации Согласия Пользователя на стороне ППИУ, когда статус Согласия переходит в состояние «Authorised».
- При отзыве Согласия на стороне ППИУ.
- При отзыве Согласия на стороне СПИУ, когда статус Согласия переходит в состояние «Revoked».
ППИУ должен получать и изменение статуса Согласия от ПКС и применять изменения в соответствии с полученным статусом, в том числе:
- устанавливать статус ресурса Согласия для корреляции со статусом ПКС;
- удалять ресурс Согласия и связанные токены, если Согласие было отозвано на ПКС.
¶ Общее описание процесса
В данном разделе описываются поток взаимодействия при получении информации о счете клиента третей стороной через информационный сервис Открытых программных интерфейсов, которые позволяют СПИУ:
- создать или отозвать ресурс согласие на доступ к счету;
- получать данные, связанные со счетом клиента.
¶ Пошаговое описание
Шаг 1 - Запрос информации по счету:
- Начало потока. Пользователь подтверждает СПИУ намерение получать информацию о счете через информационный сервис Открытых программных интерфейсов и дать согласие СПИУ на доступ к своим данным, содержащую информацию о том, к каким данным Пользователь готов предоставить доступ, срок действия согласия и даты начала и окончания периода операций по счету, к которым относится данное согласие.
Шаг 2 - Настройка согласия на доступ к счету:
- Между СПИУ и сервером авторизации ППИУ устанавливается защищенный канал связи.
- СПИУ, используя тип доступа client credentials получает на сервере авторизации ППИУ токен доступа (access token).
- Между СПИУ и сервером ресурсов ППИУ устанавливается защищенный канал связи.
- СПИУ с помощью запроса POST, используя токен доступа для авторизации, создает на сервере ресурсов ППИУ новый ресурс согласия на доступ к счету. Это информирует ППИУ о том, что один из его Пользователей намерен получать информацию, относящуюся к его счету через СПИУ. ППИУ передает в ответе СПИУ информацию о создании ресурса согласия на доступ к счету с идентификатором consentId.
- Пользователь может предоставить СПИУ несколько актуальных согласий на доступ к счету с разными параметрами.
Шаг 3 - Авторизация согласия:
- СПИУ запрашивает у Пользователя авторизацию согласия. ППИУ может это сделать с использованием перенаправления в гибридном потоке (в соответствии с разделом 5.4.3 ФАПИ.СЕК и ограничениями, определенными в главе 7) или созданием потока аутентификации по отдельному каналу (в соответствии с главой 6 ФАПИ.ПАОК и ограничениями, определенными в главе 7).
- В случае, если СПИУ выполняет этот запрос, используя поток перенаправления для переадресации конечного Пользователя к ППИУ:
- в потоке перенаправления СПИУ перенаправляет Пользователя на страницу ППИУ;
- перенаправление содержит consentId, созданный на предыдущем шаге, что позволяет ППИУ в последствии идентифицировать согласие на доступ к счету;
- ППИУ аутентифицирует Пользователя;
- пользователь выбирает счета, по которым будет производиться обмен информацией со СПИУ;
- ППИУ обновляет статус ресурса согласия на доступ к счету, фиксируя, что согласие было авторизовано;
- По завершению авторизации согласия, Пользователь перенаправляется обратно к СПИУ с кодом авторизации (authorization code);
- между СПИУ и сервером авторизации ППИУ устанавливается защищенный канал связи;
- СПИУ использует тип доступа authorization code и обменивает на сервере авторизации ППИУ код авторизации (authorization code) на токен доступа (access token), который связан с авторизованным согласием на доступ к счету (разрешение на доступ, сязанное с согласием).
- В случае, если ППИУ запрашивает аутентификацию у Пользователя на устройстве аутентификации, отличном от устройства потребителя, на котором Пользователь взаимодействует со СПИУ (поток аутентификации по отдельному каналу):
- СПИУ инициирует аутентификацию Пользователя с помощью запроса аутентификации по отдельному каналу;
- запрос содержит подсказку, которая идентифицирует Пользователя, связанного с авторизуемым согласием;
- ППИУ аутентифицирует Пользователя и обновляет статус ресурса согласия на доступ к счету (account-consent), фиксируя что согласие было авторизовано;
- как только согласие было авторизовано, ППИУ может делает обратный вызов для передачи результатов авторизации (auth_req_id) или использовать режим опроса для получения токена доступа (access-token), который связан с авторизованным согласием на доступ к счету (разрешение на доступ, связанное с согласием).
- В данном потоке предполагается, что управление согласие производится между Пользователем и СПИУ, поэтому на этом этапе не могут изменяться детали согласия на доступ к счету. Пользователь может только полностью авторизовать или отклонить данные о согласии на доступ к счету.
- При успешной авторизации Согласия ППИУ информирует ПКС
Шаг 4 - Запрос данных:
- Между СПИУ и сервером ресурсов ППИУ устанавливается защищенный канал связи.
- СПИУ, используя для авторизации полученный на шаге 3 токен доступа, при помощи вызова GET /accounts получает идентификаторы счета Пользователя, к которым предоставлен ему доступ (accountId) и выполняет запросы к серверу ресурсов ППИУ для получения информации о счете Пользователя.
¶ Диаграмма последовательности
На рисунке 1 представлена диаграмма последовательности потока получения информации о счете
Рисунок 1 - Диаграмма последовательности потока получения информации о счете
¶ Альтернативные потоки и потоки с ошибками
¶ Токен доступа отсутствует или просрочен
Этот поток предполагает, что следующие шаги были успешно выполнены:
- Шаг 1: Запрос информации по счету.
- Шаг 2. Создание согласия на доступ к счету.
- Шаг 3. Авторизация согласия.
СПИУ пытается предоставить ППИУ просроченный или отсутствующий токен доступа в попытке запросить данные. ППИУ отвечает ошибкой HTTP 401 (Unauthorized).
Рисунок 3 - Токен доступа отсутствует или просрочен
¶ Неполная или не корректная полезная нагрузка запроса
Этот поток предполагает, что следующие шаги были успешно выполнены:
- Шаг 1: Запрос информации по счету.
- Шаг 2. Создание согласия на доступ к счету.
- Шаг 3. Авторизация согласия.
СПИУ предоставляет неверно сформированный запрос к ППИУ для согласия на доступ к счету. ППИУ отвечает ошибкой HTTP 400 (Bad Request).
Рисунок 4 - Неполная или не корректная полезная нагрузка запроса
¶ Отсутствует или не действительна область применения токена доступа
Этот поток предполагает, что следующие шаги были успешно выполнены:
- Шаг 1: Запрос информации по счету.
- Шаг 2. Создание согласия на доступ к счету.
- Шаг 3. Авторизация согласия.
СПИУ предоставляет (действительный) токен доступа, который не имеет допустимой области применения (или ссылки на правильные разрешения) для запроса данных. ППИУ отвечает ошибкой HTTP 403 (Forbidden).
Рисунок 5 - Отсутствует или не действительна область применения токена доступа
¶ Недопустимая множественность вызовов API
Этот поток предполагает, что следующие шаги были успешно выполнены:
- Шаг 1: Запрос информации по счету.
- Шаг 2. Создание согласия на доступ к счету.
- Шаг 3. Авторизация согласия.
СПИУ предоставляет (действительный) токен доступа, который используется для генерации пакета из нескольких запросов на получение подробной информации о счете. ППИУ возвращает ответ 429 (Too Many Requests).
Рисунок 6 - Недопустимая множественность вызовов API
¶ Ошибка авторизации согласия
Этот поток предполагает, что следующие шаги были успешно выполнены:
- Шаг 1: Запрос информации по счету.
- Шаг 2. Создание согласия на доступ к счету.
- Шаг 3. Авторизация согласия не выполняется из-за того, что Пользователь предоставил недопустимые учетные данные для ППИУ или отказался предоставить доступ к счету для СПИУ, в результате чего код авторизации не создается.
Рисунок 7 - Ошибка авторизации согласия
¶ Безопасность и контроль доступа
¶ Требование к профилю безопасности
Все взаимодействия при получении информации о счете клиента через информационный сервис Открытых программных интерфейсов должны соответствовать требованиям расширенного профиля безопасности OpenID AP, определенным в главе 7 ФАПИ.СЕК.
¶ Типы предоставления доступа
¶ Тип доступа client credentials
СПИУ использует метод аутентификации клиента на конечной точке токена предоставляя свои учетные данные (client credentials) с использованием механизма аутентификации private_key_jwt (раздел 5.5.3 ФАПИ.СЕК) для получения токена доступа к ресурсу согласия на доступ к счету (account-consents).
¶ Тип доступа authorization code
Тип доступа authorization code СПИУ использует в рамках сценария перенаправления в гибридном потоке (в соответствии с разделом 5.4.3 ФАПИ.СЕК и ограничениями, определенными в главе 7) или потоке аутентификации по отдельному каналу (в соответствии с главой 6 ФАПИ.ПАОК и ограничениями, определенными в главе 7) для получения токена доступа к ресурсам Пользователя.
Примечание: ресурс Согласия на доступ к счету не является ресурсом Пользователя.
¶ Информация для оценки рисков
Информация для оценки рисков будет доступна:
- В HTTP заголовках в соответствии с требованиями раздела 6.3 № СТО БР ФАПИ.СЕК-1.6-2023.