Dyrektywa PSD2 i jej standardy
Dyrektywa PSD2 nakłada na bank obowiązek otwarcia się na Małe Instytucje Płatnicze (MIP) oraz udzielenia takiego dostępu. Musi być jednak spełnionych kilka warunków. Bank ustala tożsamość klienta TPP, sprawdza zakres udzielonego przez niego dostępu i potwierdza udostępnienie danych mechanizmem silnego uwierzytelnienia (SCA).
Proponowane bankom przez Polish API rozwiązania bezpieczeństwa (mechanizm uwierzytelniania klienta po stronie ASPSP Polish API) czerpią ze standardu OAuth2. Wprowadzają jednak szereg odstępstw takich jak rozbicie przekierowania użytkownika na adres autoryzacyjny na dwa kroki czy modyfikacja usługi wywołania tokenów oraz wprowadzenie nowej funkcjonalności, tzw., exchange token.
Zrozumienie standardu OAuth2 może być bardzo cenne przy wdrożeniu mechanizmów autoryzacji Polish API. Szerzej o analogiach między standardami – w artykule autorstwa Grzegorza Abramczyka, Architekta IT w TUATARA, na geek.justjoin.it – zapraszamy do lektury, jak również do zapoznania się z pierwszą jego publikacją na temat dyrektywy PSD2.
