Dissertação

{en_GB=Secure Model of Web APIs development in the cloud} {} EVALUATED

{pt=As informações bancárias de clientes fazem parte dos tipos de dados mais sensíveis que existem, porque é aí que está indicado quanto dinheiro uma pessoa tem. Devido às necessidades decorrentes nos dias de hoje, surgiram alterações à Legislação Europeia, nomeadamente a Directiva de Serviços de Pagamento revista (PSD2) e Regulamento Geral sobre a Proteção de Dados (GDPR). O PSD2 veio com o intuito de forçar os bancos a exporem as suas Application Programming Interfaces (APIs), enquanto que o GDPR consiste em que toda a informação sensível relativamente ao utilizador só possa ser partilhada com o seu consentimento. Ao PSD2 está ainda associada um Norma Técnica de Regulamentação (RTS) para que haja um mínimo de segurança no que toca às interacções entre entidades, autenticação do utilizador e autorização dada às aplicações. Como não há Normas definidas pelo PSD2, então pesquisar por soluções existentes é uma mais-valia. OpenBankProject e Apigee são duas entidades que já têm soluções implementadas e que fornecem o necessário para cumprirem com PSD2. Tendo obtido conhecimento, com base nestas soluções, é então possível implementar um conjunto de APIs que siga o mesmo caminho, desenvolvendo assim uma solução que cumpra com PSD2 relativamente ao produto de Internet Banking, BankOnBox. Para que seja possível providenciar os mecanismos de Autenticação e Autorização, implementa-se um servidor com base no protocolo OpenID Connect. Este protocolo demonstra como fornecer esses mecanismos para Autenticar o utilizador com o Banco, dar Autorização à aplicação para aceder a informações das contas do utilizador., en=Banks store important client information, making this one of the most sensitive types of information that currently exist. With the needs of today, certain legislature changes came into force. PSD2 forces Banks to be more open. letting interested third parties access client data. GDPR also plays a role in this, in which sensitive data is not shared unless consented to by the owner. PSD2's associated RTS mandates that some degree of security, authentication and authorisation exists in these changes. To provide this openness, Banks and interested companies have been looking into possible secure solutions. No Standards to existing solutions have been available, which allowed core parameters to be implemented. Therefore, researching for other defined solutions was needed. OpenBankProject and Apigee are two entities that have already provided such PSD2 compliant solutions, making it easier and faster to implement a dedicated set of interfaces. With this knowledge, developing a solution for providing PSD2 compliance in regards to BankOnBox, was possible. By implementing a set of APIs that would connect the BankOnBox's internal system and third-party applications, PSD2 compliance was half-way met. The other half required providing Security, Authentication and Authorisation mechanisms. For this part, making use of the OpenID Connect protocol was a necessity. This protocol provides Access Tokens to the applications and reliably authenticates the End User with the Bank, in turn confirming with the Application that this was done correctly.}
{pt=PSD2, RTS, API, BankOnBox, OpenID Connect, en=PSD2, RTS, API, BankOnBox, OpenID Connect}

Novembro 6, 2018, 14:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

José Manuel da Costa Alves Marques

Departamento de Engenharia Informática (DEI)

Professor Catedrático

ORIENTADOR

Ana Margarida Seara Madeira

Link Consulting

Especialista