L’European Payments Council (EPC) ha pubblicato un documento volto a definire un quadro di sicurezza delle API utilizzate per i servizi di pagamento basato su standard di sicurezza europei e internazionali.
Il quadro di sicurezza delle interfacce di programmazione delle applicazioni (API), che si basa su standard di sicurezza europei o internazionali ampiamente disponibili, elenca i requisiti minimi di sicurezza applicabili ai partecipanti agli schemi Request-to-Pay (SRTP) e SEPA Payment Account Access (SPAA) che utilizzano le API, indipendentemente dal fatto che si basino sulle specifiche API SRTP predefinite dell’European Payments Council (EPC) o su altre specifiche API.
L’uso di API per gli scambi tra i partecipanti allo schema sarà obbligatorio o un’opzione praticabile, a seconda degli schemi EPC.
Poiché le questioni di sicurezza relative alle API sono essenziali e supportano l’effettivo scambio di API, lo scopo di questo documento è definire un quadro di sicurezza delle API basato su standard di sicurezza europei o internazionali ampiamente disponibili, che elenchi i requisiti minimi di sicurezza applicabili, indipendentemente dallo schema, ai partecipanti agli schemi SRTP e SPAA che utilizzano le API.
Questi requisiti sono indipendenti dalle funzionalità e dalle implementazioni tecniche delle API e sono applicabili a tutti gli schemi SRTP e SPAA e a tutte le specifiche API (di mercato o EPC) utilizzate da un partecipante allo schema, sia che il partecipante allo schema scelga di inviare e ricevere messaggi direttamente, sia che scelga di utilizzare i servizi mutualizzati di un “hub” (fornitore di soluzioni tecniche) che funge da gateway per i messaggi.
Gli schemi SPAA e SRTP sono entrambi gestiti dall’EPC e sono stati progettati per utilizzare API per la comunicazione tra i partecipanti allo schema.
Sebbene vi siano alcune differenze relative al funzionamento di entrambi gli schemi, nonché una differenza di maturità tra i due schemi, essi sono sufficientemente simili come schemi di messaggistica da giustificare uno sforzo congiunto nella definizione di un quadro di sicurezza API comune.
Laddove vi sia una differenza in ciascuno schema che giustifichi un approccio diverso nel quadro di sicurezza, tale differenza sarà evidenziata.
In particolare, il presente documento ha lo scopo di individuare i requisiti di un quadro di sicurezza API che può essere condiviso inizialmente da SPAA e SRTP e in futuro da altre iniziative EPC che richiedono l’uso di un’API, tra cui:
- i requisiti di sicurezza basati su standard di sicurezza europei o internazionali ampiamente disponibili. Le misure di sicurezza raccomandate devono essere proporzionate e accessibili;
- l’elenco dei requisiti operativi che un Operational Scheme Manager (OSM) deve fornire per garantire il buon funzionamento del quadro.
I requisiti stabiliti in questo quadro riguardano solo l’interazione tra i partecipanti al sistema.
L’interazione tra i partecipanti al sistema e i loro clienti non rientra nell’ambito del quadro di riferimento.
Le specifiche dei requisiti definiti in questo documento saranno responsabilità di ciascuna specifica API che li utilizza.
Sebbene la maggior parte dei requisiti sia comune e applicabile a tutti gli schemi, potrebbero esserci alcune specificità che saranno indicate di conseguenza.
I requisiti del presente documento riguardano la sicurezza dell’API stessa come “involucro”, non la sicurezza di ogni informazione contenuta in ogni singolo messaggio scambiato attraverso l’API. I messaggi possono contenere informazioni che potrebbero portare a frodi se non sufficientemente protette, come ad esempio l’IBAN del beneficiario.
Se tali informazioni, all’interno dei messaggi, devono essere protette, è compito degli Schemi descrivere le modalità.
L’attuale quadro normativo si limita a garantire che i messaggi circolino correttamente tra partecipanti identificati, autenticati e autorizzati, assicurando la riservatezza, e che il contenuto del messaggio non sia stato manomesso durante il trasporto.
