Motor de Consentimiento
Aquí encontrará un mapeo de parte de la infraestructura del entorno de Open Finance: el Motor de Consentimiento, cuyas APIs se encargan de gestionar el consentimiento de los clientes para posibles integraciones. Sus funcionalidades son:
-
crear el Consentimiento;
-
validar un Consentimiento;
-
Actualizar los aprobadores del Consentimiento;
-
actualizar los permisos del Consentimiento;
-
autorizar un Consentimiento;
-
rechazar un Consentimiento;
-
revocar un Consentimiento;
-
actualizar los recursos de un Consentimiento.
Las especificaciones oficiales de BACEN para Motor de Consentimiento (en Portugués). |
El Open Finance Brasil especifica dos grupos de instituciones que pueden participar en el ecosistema de integración:
-
Instituciones transmisoras - Proveedores de servicios de pago con servicio de cuentas (ASPSP): Un ASPSP es cualquier institución financiera que ofrece una cuenta de pago con acceso en línea. Los ASPSP deben proporcionar acceso para permitir que los terceros registrados (TPP) accedan a la información de la cuenta a través de las API.
-
Instituciones proveedoras - Terceros proveedores (TPP): Las instituciones proveedoras son organizaciones que utilizan las API desarrolladas por los ASPSP para acceder a las cuentas de los clientes con el fin de proporcionar servicios de información de cuentas.
Trayecto de Consentimiento del TPP
Las APIs TPP Consent Journey son utilizadas por las Instituciones Financieras (IFs) para realizar una solicitud de consentimiento en nombre del usuario en otra IF. El Open Finance requiere que las IFs se integren, y estas APIs abstraen la complejidad de esa integración.
Trayecto de Consentimiento de ASPSP
Las APIs de ASPSP Consent Journey permiten a la Institución Financiera (IF) recibir solicitudes de consentimiento y consumo de datos de otras IFs. Además, facilitan la integración del recorrido del cliente para las aprobaciones de consentimiento y también las aprobaciones multinivel.
Interceptores
Para exponer sus APIs de Open Finance para su consumo, necesita añadir interceptores específicos que realicen validaciones y tareas fundamentales en el contexto de Open Finance. Ofrecemos interceptores personalizados listos en el Admin Portal. [en construcción]
Los interceptores de Open Finance son:
-
Autorización de Token de Acceso;
-
Extractor de certificados;
-
Actualización de la ubicación;
-
Validación del consentimiento;
-
Validación de la firma;
-
Validación de permisos.
Autorización de tokens de acceso
Este interceptor es necesario para todas las API que se expongan y que estén relacionadas con Open Finance. La Autorización del Token de Acceso valida el token de acceso introducido en la solicitud.
Extractor de certificados
Como su nombre indica, el Extractor de Certificados extrae el certificado que le llega y lo pasa. Esta extracción se realiza para que el certificado pueda ser interpretado, de forma que se realicen los enlaces y las validaciones adecuadas.
Actualización de la ubicación
Las solicitudes entrantes pasan primero por el API Gateway antes de llegar al Servidor de Autorización. El Servidor de Autorización realiza entonces redireccionamientos internos, creando dominios para las llamadas internas. El Update Location actualiza las direcciones de estos dominios para que puedan ser vistos por el solicitante.
Validación del consentimiento
El Interceptor de Validación de consentimiento se utiliza junto con el Interceptor de Validación de Permisos para certificar que el consentimiento creado por el usuario en ASPSP y los permisos de la API a la que se está accediendo cumplen con la agrupación definida por Open Finance Brasil.
Validación de la firma
Interceptor utilizado en el flujo de iniciación de pagos para validar los mensajes JWS enviados por la institución iniciadora. Este interceptor se puede utilizar en el flujo de peticiones y respuestas de la API y es responsable de validar el payload, la firma y la codificación base64.
Validación de permisos
Este interceptor se utiliza para validar el conjunto de permisos definidos por Open Finance Brasil para acceder a los recursos del cliente en la institución ASPSP. Una vez configurado este interceptor, la API estará lista para validar que el consentimiento contiene los permisos necesarios para acceder al recurso. Cada interceptor debe contener los permisos estrictamente necesarios para acceder al recurso específico.
Enlaces útiles:
|
Share your suggestions with us!
Click here and then [+ Submit idea]