Pular para o conteúdo principal

Segurança

Conteúdo baseado estritamente no finway.json e nos guias migrados. Controles não observados nessas fontes são marcados como [TODO]não foram inventados.

Autenticação por header

A API usa dois esquemas de segurança do tipo apiKey em header [FATO — components.securitySchemes]:

EsquemaHeaderConteúdo
x-buildersbank-authorizationx-buildersbank-authorizationToken JWT de autorização do usuário [FATO — description]
client_idclient_idIdentificador único da aplicação cliente [FATO — description]

A segurança global do spec exige esses esquemas [FATO — security: x-buildersbank-authorization, client_id].

Obtenção de token

  • Token obtido via fluxo de autenticação com client_id / client_secret [FATO — guia intro/autenticação].
  • Endpoint de token sob o domínio de segurança (tag OAuth Token / Authentication) [FATO — tags].
  • O access_token retornado é enviado no header x-buildersbank-authorization nas requisições seguintes [FATO — guia intro].

Challenge / Response e OTP

  • Fluxo de challenge/response para autenticação e operações sensíveis [FATO — guias + schemas AuthenticationChallengeRequest/Response].
  • OTP por SMS e e-mail [FATO — schemas SMSChallengeRequest, MailChallengeRequest, ValidateOTPRequest; guias de autenticação, alteração de senha/PIN].

Associação de dispositivo

  • Associação de dispositivo confiável via OTP (SMS/e-mail) [FATO — tag Devices Management; schemas DeviceAssociationRequest/Response; guia de autenticação].

Assinatura digital RSA

  • Operações financeiras (ex.: Pix) requerem assinatura digital RSA [FATO — guia PIX: seção "Autenticação e Assinatura Digital"; guia intro menciona "assinatura digital RSA"].
  • Especificações da chave RSA e processo de assinatura estão descritos no guia PIX [FATO].
  • Header/formato exato da assinatura na API Reference: [TODO] — não há securityScheme de assinatura no finway.json (a assinatura é descrita nos guias, não no contrato).

Autorização (PBAC)

  • O finway.json cita autorização (PBAC) na descrição do Security Service [FATO — info.description].
  • Não há detalhamento de PBAC nos guias migrados (PBAC não aparece em docs/jornadas/) [FATO — busca textual].
  • Modelo de políticas, papéis e escopos PBAC: [TODO].

Não observado (não documentar como existente)

  • [TODO] mTLS, certificate pinning, HSM, OCSP/CRL — não observados nas fontes atuais.
  • [TODO] Política de rotação de tokens, expiração e refresh.
  • [TODO] Criptografia de payload de webhook (ex.: JWE) — confirmar na página Webhooks.