Estándares

BIAN

BIAN es un estándar de servicios semánticos para industria Bancaria, agnóstico a tecnologías o arquitecturas específicas. De acuerdo al sitio oficial, BIAN (BankingIndustry Architecture Network) es una asociación sin ánimo de lucro de bancos, vendedores de software y proveedores de servicios que tiene el objetivo de definir estándares para servicios de operación en la industria bancaría para proveer interoperabilidad entre aplicaciones de software y entre entidades Bancarías.

El enfoque actual de BIAN’s se centra en la interoperabilidad interna entre aplicaciones (A2A application-to-application). BIAN trabaja continuamente con sus miembros mediante la retroalimentación de la comunidad bancaria para refinar las especificaciones presentadas y ampliar la cobertura a través de los servicios de dominio de BIAN ServiceLandscape. (Paisaje servicio BIAN).

El enfoque actual de BIAN’s se centra en la interoperabilidad interna entre aplicaciones (A2A application-to-application).
BIAN trabaja continuamente con sus miembros mediante la retroalimentación de la comunidad bancaria para refinar las especificaciones presentadas y ampliar la cobertura a través de los servicios de dominio de BIAN ServiceLandscape. (Paisaje servicio BIAN).

OPENAPI

La especificación Open API, originalmente conocida como la especificación Swagger, es una especificación para interfaces procesables por máquinas, descritas en archivos para ser producidas, consumidas y virtualizadas en servicios web RESTful.
Originalmente parte de framework Swagger, se convirtió en un proyecto separado en 2016, vigilado por la iniciativa OpenAPI, una colaboración de open source de la Linux Foundation.

Logo de OPENAPI

Las interfases RESTful diseñadas dentro de nuestras soluciones se alinean a este estándar para garantizar la portabilidad entre diferentes API Managers. De igual forma, BIAN emite sus interfaces por medio de archivos Swagger, que también están alienados a este estándar.
La especificación que utilizamos actualmente es la Open API 3.0.2, la cual se versiona utilizando Semantic Versioning 2.0.0 https://semver.org/spec/v2.0.0.html (semver) y sigue la especificación semver.
Utilizamos el principio HATEOAS, Hypermedia As The Engine Of Application State (hipermedia como motor del estado de la aplicación). Definido como cuando el servidor nos devuelve la representación de un recurso (JSON, XML…) parte de la información devuelta serán identificadores únicos en forma de hipervínculos a otros recursos asociados.
La restricción HATEOAS propone que el cliente y el servidor se comuniquen completamente utilizando el hipermedia.

Existen varias ventajas al usar hipermedia:
• Permite a los diseñadores de API en lugar de incluir todo lo que pueden en cada respuesta, para proporcionar una cosa correctamente y enlaces hipermedia a puntos finales relacionados y así desacoplar el diseño.
• Ayuda a que una API evolucione y madure con más gracia
• Proporciona al usuario los medios para explorar la API más profundamente
Para comprender más a fondo cómo es que API IFScore utiliza el principio HATEOAS puede visitar un ejemplo en:
https://www.adictosaltrabajo.com/2013/12/02/spring-hateoas/
API IFScore tiene un nivel 3 de madurez según el modelo de madurez de Richardson. El estudio de un centenar de diseño de servicios web diferentes se dividió en cuatro categorías en función de cuanto cumple con REST, estas categorías se dividen en función de tres factores:
1. URI
2. Método HTTP y
3. HATEOAS (Hypermedia)

ISO27000

ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. La familia ISO 27000 contiene un conjunto de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información.

Logo de ISO27001

Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La principal diferencia entre estas dos normas es que 27001 se basa en una gestión de la seguridad de forma continuada apoyada en la identificación de los riesgos de forma continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que describe una serie de objetivos de control y gestión que deberían ser perseguidos por las organizaciones.
Un Sistema de Gestión de la Seguridad de la Información es un conjunto de políticas y procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información. A continuación, les dejamos algunos detalles de cada uno de los estándares que están incluidos en la familia de ISO 27000.
• ISO 27000: contiene el vocabulario en el que se apoyan el resto de las normas. Es similar a una guía/diccionario que describe los términos de todas las normas de la familia.
• ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A, en el que se detallan las líneas generales de los controles propuestos por el estándar.
• ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114 controles.
• ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de un SGSI con éxito.

• ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.
• ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.
• ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones certificadoras.
• ISO 27007: es una guía para auditar SGSIs. Establece que auditar y cuándo, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.
Este estándar es siempre utilizado como referencia en cada una de las actividades que realizamos.