Documentação das especificações do GT de Segurança do Open Banking Brasil. As especificações ainda estão em versão draft e não devem ser utilizadas para implementação.
O valor do campo UID do certificado deve coincidir com o enviado no SSA, onde o campo UID deve conter o valor do campo software_id do SSA.¶
<li id="section-7.1-3.14">O valor do campo <em>organizationIdentifier</em> do certificado deve conter o prefixo correspondente ao Registration Reference <em>OFBBR-</em> seguido do valor do campo <em>org_id</em> do SSA. Para certificados emitidos até 31 de Agosto de 2022: o valor do campo <em>OU</em> do certificado deve conter o valor do campo <em>org_id</em> do SSA.<a href="#section-7.1-3.14" class="pilcrow">¶</a>
deve, durante o processo de handshake TLS, usar a regra distinguishedNameMatch para comparar os valores DN conforme definido na RFC4517.¶
<li id="section-7.1-3.16">deve garantir a integridade do estoque de consentimentos ativos, mesmo após eventuais mudanças sistêmicas, para que taís alterações sejam transparentes para as instituições receptora de dados (TPP).<a href="#section-7.1-3.16" class="pilcrow">¶</a>
deve realizar recertificação FAPI e DCR da OIDF após eventuais mudanças sistêmicas.¶
validar que o certificado apresentado pela aplicação cliente é subordinado às cadeias do ICP-Brasil definidas no Padrão de Certificados do Open Finance Brasil;¶
enquanto houver a necessidade do período de convivência (mencionado no tópico 7.1) deve ser implementado a validação para ambos os casos: certificados que possuem o valor org_id no campo organizationUnitName (OU) e certificados que possuem o valor org_id no campo organizationIdentifier.¶
assegurar que a assinatura do software_statement apresentado pela aplicação cliente durante o registro tenha sido feita pelo Diretório de Participantes através das chaves públicas descritas na seção anterior;¶
assegurar que o software_statement apresentado pela aplicação cliente durante o registro corresponda à mesma instituição do certificado de cliente apresentado, validando-o através dos atributos que trazem organization_id no certificado X.509.¶
não devem ser permitidos múltiplos cadastros DCR para o mesmo Software Statement , de forma que em caso de tentativa de novo registro para um Software Statement já cadastrado, deve se utilizar o procedimento de Error Response definido no item 3.2.2 da RFC7591.¶
emitir, na resposta do registro, um registration_access_token para ser usado como token de autenticação nas operações de manutenção da aplicação cliente registrada, seguindo as especificações descritas na RFC7592.¶
Novo texto: [...]
distinguishedNameMatch
para comparar os valores DN conforme definido na RFC4517.¶[...]
9.3.1. Registro de cliente - POST /register
organization_id
no certificado X.509.¶registration_access_token
para ser usado como token de autenticação nas operações de manutenção da aplicação cliente registrada, seguindo as especificações descritas na RFC7592.¶