« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 | Main | 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) »

2021.08.17

ロシア 連邦中央銀行が金融取引におけるクライアント認証のセキュリティ標準を発行

こんにちは、丸山満彦です。

DXは世界中で...ということなのでしょうね。ロシア連邦中央銀行が金融取引におけるクライアント認証のセキュリティ標準を発行していますね。。。

Банк России(ロシア連邦中央銀行)

・2021.08.16 Вводится стандарт по безопасности финансовых операций(金融取引セキュリティに関する標準を導入)

Вводится стандарт по безопасности финансовых операций 金融取引のセキュリティに関する標準を導入
Банк России вместе с участниками рынка разработал стандарт, который совершенствует механизм сохранности данных при проведении финансовых операций. ロシア銀行は、市場関係者と協力して、金融取引のデータ・セキュリティ・メカニズムを改善する標準を開発しました。
Защите конфиденциальной информации финансовых организаций и их клиентов будут способствовать установленные в документе требования к финансовым API (программным интерфейсам взаимодействия между финансовыми организациями). 金融機関とその顧客の機密情報の保護は、本文書に記載されている金融API(金融機関間のソフトウェア・インターフェース)の要件によって促進されます。
В частности, поставщики приложений смогут при наличии актуального идентификатора конечного пользователя (клиента поставщика платежных услуг) применять определенные механизмы для повышения надежности аутентификации клиента по альтернативным каналам. 特に、アプリケーションプロバイダーは、エンドユーザー(ペイメントサービスプロバイダーの顧客)が現在の識別子を持っていれば、代替チャネルによる顧客認証の信頼性を高めるために特定のメカニズムを適用できるようになります。
Стандарт носит рекомендательный характер. Им могут руководствоваться сторонние поставщики услуг, которым для выполнения операций нужны сведения о банковском счете клиента, участники перевода денежных средств, а также разработчики информационного и программного обеспечения, информационных систем. この標準は推奨事項です。取引のために顧客のアカウント情報を必要とする第三者のサービスプロバイダー、資金移動の参加者、さらには情報やソフトウェア、情報システムの開発者が利用することができます。

 

・[PDF] БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ - ПРИКЛАДНЫЕ ПРОГРАММНЫЕ ИНТЕРФЕЙСЫ(金融(銀行)取引のセキュリティ - API)

20210817-73300

 

ロシア語で読めないんですが、、、参考文献をみるとなんとなく察しがつくような気もする。。。

 

Предисловие 序文
1. Введение 1. はじめに
2. Область применения 2. 適用範囲
3. Термины и определения 3. 用語と定義
4. Обозначения и сокращения 4. 頭字語と略語
5. Общие положения 5. 一般規定
5.1. Структура стандарта 5.1. 標準の構成
5.2. Нормативные требования 5.2. 規制要求事項
6. Реализация OpenID Connect при аутентификации по отдельному каналу 6. 別チャネルで認証する際のOpenID Connectの実装
6.1. Режимы Poll, Ping и Push 6.1. Poll、Ping、Pushの各モード
6.1.1. Режим Poll 6.1.1. Pollモード
6.1.2. Режим Ping 6.1.2. Pingモード
6.1.3. Режим Push 6.1.3. Pushモード
6.2. Регистрация и обнаружение метаданных 6.2. メタデータの登録と検出
6.2.1. Метаданные сервера авторизации 6.2.1. 認証サーバのメタデータ
6.2.2. Метаданные клиента 6.2.2. クライアントのメタデータ
6.3. Конечная точка аутентификации по отдельному каналу 6.3. 独立したチャネル認証エンドポイント
6.3.1. Запрос аутентификации 6.3.1. 認証要求
6.3.2. Проверка запроса аутентификации 6.3.2. 認証要求の検証
6.3.3. Успешное подтверждение запроса аутентификации 6.3.3. 認証要求検証の成功
6.3.4. Проверка положительного ответа на запрос аутентификации 6.3.4. 認証要求に対する肯定的な応答の検証
6.3.5. Получение сервером авторизации согласия/авторизации конечного пользователя 6.3.5. 認証サーバがエンドユーザから同意/認証を受け取る
6.4. Конечная точка уведомления клиента 6.4. 顧客通知エンドポイント
6.5. Получение результата аутентификации 6.5. 認証結果の受信
6.5.1. Запрос токена 6.5.1. リクエストトークン
6.5.2. Обратный вызов в режиме Ping 6.5.2. Pingモードでのコールバック
6.5.3. Обратный вызов Push 6.5.3. Pushモードでのコールバック
6.6. Ответ об ошибке токена 6.6.トークン・エラー・レスポンス
6.7. Полезная нагрузка ошибки Push 6.7. Pushエラーのペイロード
6.8. Ответ об ошибке аутентификации 6.8 認証エラー応答
6.8.1. Коды ошибок аутентификации, связанные с ошибками HTTP 6.8.1. HTTPエラーに関連する認証エラーコード
7. Профиль безопасности OpenID API с использованием потока аутентификации по отдельному каналу для доступа к сервисам в режиме чтения и записи 7. サービスへの読取りと書込みのアクセスに別々のチャネル認証フローを使用するOpenID APIセキュリティプロファイル
7.1. Общие требования 7.1. 一般要求事項
7.2. Сервер авторизации 7.2. 認証サーバ
7.3. Конфиденциальный клиент 7.3. コンフィデンシャル・クライアント
7.3.1. Основные положения 7.3.1. 一般規定
7.4. Расширения для запроса аутентификации 7.4. 認証リクエストの拡張機能
7.5. Доступ к защищенным ресурсам 7.5. 保護された資源へのアクセス
7.5.1. Положения клиента 7.5.1. クライアントの規定
7.5.2. Механизмы защиты 7.5.2. セキュリティ・メカニズム 
7.6. Подтверждение процесса аутентификации 7.6. 認証プロセスの確認
7.6.1. Инициация сессий аутентификации без участия конечного пользователя 7.6.1. エンドユーザーが関与しない認証セッションの開始
7.6.2 Подтверждение пользователем значения <binding_message> 7.6.2. <binding_message>の値のユーザによる確認
Библиография 参考文献

 

|

« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 | Main | 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」 | Main | 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版) »