Por favor verifica tu e-mail para tener acceso completo al Hub haciendo click al link enviado a youremail@gmail.com
Reenviar correo de verificación
💣 Viene el entrenamiento intensivo en pagos instántaneos más completo de Latam. Reserva tu cupo en nuestro Fellowship

El viaje de Mambu con las claves API

November 28, 2023
Por
Mambu
Mambu
The SaaS cloud banking platform with a unique composable approach
📷
LFH
Conoce con Mambu lo que han aprendido al implementar un modelo de seguridad más potente a través de una implementación personalizada además de las claves API.
Contenido para Usuarios 🔒

En Mambu, cuando comenzamos a usar API , la autenticación básica (nombre de usuario y contraseña) se consideraba un método confiable de autenticación. Sin embargo, a medida que la tecnología avanzó y creció la demanda de mayor seguridad, la autenticación básica quedó obsoleta. Hoy en día, la mayoría de las empresas de tecnología han eliminado gradualmente la compatibilidad con la autenticación de nombre de usuario/contraseña y han hecho la transición a soluciones más seguras y actualizadas.

La mayoría de los proveedores de API Gateway admiten el mismo conjunto básico de mecanismos de seguridad API, destacando las claves API y OAuth 2.0 como las opciones más destacadas para la autenticación y autorización. Durante los últimos años, hemos estado trabajando en nuestras API . Queríamos compartir lo que hemos aprendido al implementar un modelo de seguridad más potente a través de una implementación personalizada además de las claves API. Explicaremos nuestras opciones y compartiremos las mejores prácticas.

Cómo elegimos el mejor método de autenticación para nuestras necesidades

Nuestro viaje con las claves API comenzó hace unos años. En su momento era la mejor solución para nuestras necesidades como Plataforma de Banca en la Nube y las necesidades de nuestros clientes. La razón fue que las claves API son muy simples de usar desde la perspectiva del consumidor:

  • Los clientes obtienen una clave API de Mambu
  • Agregan la clave a un encabezado de Autorización
  • Llaman a la API

No puede ser más simple que eso.

Además, en nuestro caso, buscábamos cubrir un caso de uso principal que es autenticar y autorizar la interacción de aplicación a aplicación dentro de un perímetro privado. Y dado que OAuth 2.0 está diseñado principalmente para usuarios "no desarrolladores", que con frecuencia necesitan acceder a API públicas para exponer datos a las aplicaciones web o móviles de los usuarios finales, la elección fue simple.

Uso seguro de claves API

Hemos introducido las siguientes opciones para brindarles a nuestros clientes medios para aprovechar nuestra clave API con una capa adicional de protección.

  • Consumidores de API : una capa de abstracción similar a un cliente sobre las claves de API. En pocas palabras, los consumidores de API son clientes de API para la autenticación de sistema a sistema (desarrolladores, socios, aplicaciones móviles). Permiten a nuestros clientes generar claves API y configurar autorizaciones basadas en los roles y permisos asignados a cada consumidor de API. Nuestras claves API heredan el alcance de la configuración de acceso del consumidor de API que las crea y nuestra implementación también viene con funcionalidad adicional para abordar los riesgos asociados con la administración de claves.
  • Control de acceso basado en roles : los clientes pueden aplicar un control de acceso flexible basado en roles a todos los puntos finales de API. Obtienen control total para determinar quién tiene acceso a los consumidores de API, cómo y cuándo se generan y caducan las claves de API, cuándo rotar las claves, etc.
  • Capacidad de establecer un tiempo de vida específico (TTL): con Mambu, los usuarios pueden establecer un tiempo de vencimiento automático para cualquier clave API que creen.
  • Rotación segura de claves : las claves API se pueden rotar fácilmente cuando sea necesario utilizando una clave secreta. Las claves de reemplazo se vuelven a emitir de forma segura y los clientes pueden configurar un TTL adecuado.
  • API Key Hashing: las claves se almacenan con cifrado en reposo y se procesan mediante hash para mayor seguridad, lo que garantiza que nunca se almacenen ni se transmitan en texto sin formato.
  • Seguimiento de auditoría : con nuestra solución de seguimiento de auditoría, mantenemos un registro de todos los consumidores de API y las actividades de las claves de API.
  • Bloqueo de IP : Mambu bloquea automáticamente cualquier dirección IP que emita un total de 10 solicitudes utilizando credenciales no válidas. La rotación de claves y las fechas de vencimiento también contribuyen a reducir los riesgos de seguridad.

Mejores prácticas de claves API

Configurar el tiempo de vencimiento

Lo ideal sería agregar un tiempo de vencimiento a cada clave API que cree. El TTL (tiempo de vida) recomendado depende de su uso específico y de sus requisitos de seguridad. Puede establecer el tiempo de vencimiento para cada clave API que cree a través de la interfaz de usuario de Mambu o de las API .

Como práctica recomendada, debe cambiar/rotar sus claves API al menos una vez al año o inmediatamente después de cualquier intento de ataque.

Rotación de claves con claves secretas

La rotación de claves API le permite invalidar claves API específicas utilizando una clave secreta para la autenticación. Cuando se rota una clave a través de nuestro punto final api-consumers-rotatekey , recibirá inmediatamente una clave API de reemplazo y una nueva clave secreta en el cuerpo de la respuesta.

Como práctica recomendada, recomendamos utilizar también la caducidad automática de la clave de consumidor de API en las Preferencias de Access. De esta manera, si olvida especificar un tiempo de vencimiento para la clave de reemplazo en la solicitud de rotación, la clave caducará en el TTL establecido mediante la caducidad automática de la clave del consumidor de API, que anula el TTL establecido mediante una llamada API, lo que garantiza que no terminar con claves que nunca caducan.

Si desea obtener más información sobre cómo establecer el tiempo de vencimiento, rotar claves y generar claves secretas, consulte nuestra documentación de soporte Claves API.

Hash de clave API

Para mejorar aún más la protección, las Claves API se almacenan mediante un proceso de encriptación, a través de nuestros sistemas de gestión de Claves API, cumpliendo con los más altos estándares de seguridad.

¿Qué sigue para los consumidores y las claves API de Mambu?

En Mambu, confiamos en nuestra implementación personalizada de claves API y consumidores de API y estamos realizando mejoras continuamente para mantenernos al día con los estándares del mercado y, al mismo tiempo, ser proactivos en la identificación y la vanguardia en las necesidades cambiantes de los clientes. En el transcurso del próximo año, planeamos agregar nuevas capacidades a nuestra solución de autenticación y autorización de API para reforzar aún más la seguridad.

Las opiniones compartidas y expresadas por los analistas son libres e independientes, y de ellas son responsables sus autores. No reflejan ni comprometen el pensamiento u opinión de Latam Fintech Hub, por lo cual no pueden ser interpretadas como recomendaciones emitidas por la platafomra. Esta plataforma es un espacio abierto para promover la diversidad de puntos de vista sobre el ecosistema Fintech.

En Mambu, cuando comenzamos a usar API , la autenticación básica (nombre de usuario y contraseña) se consideraba un método confiable de autenticación. Sin embargo, a medida que la tecnología avanzó y creció la demanda de mayor seguridad, la autenticación básica quedó obsoleta. Hoy en día, la mayoría de las empresas de tecnología han eliminado gradualmente la compatibilidad con la autenticación de nombre de usuario/contraseña y han hecho la transición a soluciones más seguras y actualizadas.

La mayoría de los proveedores de API Gateway admiten el mismo conjunto básico de mecanismos de seguridad API, destacando las claves API y OAuth 2.0 como las opciones más destacadas para la autenticación y autorización. Durante los últimos años, hemos estado trabajando en nuestras API . Queríamos compartir lo que hemos aprendido al implementar un modelo de seguridad más potente a través de una implementación personalizada además de las claves API. Explicaremos nuestras opciones y compartiremos las mejores prácticas.

Cómo elegimos el mejor método de autenticación para nuestras necesidades

Nuestro viaje con las claves API comenzó hace unos años. En su momento era la mejor solución para nuestras necesidades como Plataforma de Banca en la Nube y las necesidades de nuestros clientes. La razón fue que las claves API son muy simples de usar desde la perspectiva del consumidor:

  • Los clientes obtienen una clave API de Mambu
  • Agregan la clave a un encabezado de Autorización
  • Llaman a la API

No puede ser más simple que eso.

Además, en nuestro caso, buscábamos cubrir un caso de uso principal que es autenticar y autorizar la interacción de aplicación a aplicación dentro de un perímetro privado. Y dado que OAuth 2.0 está diseñado principalmente para usuarios "no desarrolladores", que con frecuencia necesitan acceder a API públicas para exponer datos a las aplicaciones web o móviles de los usuarios finales, la elección fue simple.

Uso seguro de claves API

Hemos introducido las siguientes opciones para brindarles a nuestros clientes medios para aprovechar nuestra clave API con una capa adicional de protección.

  • Consumidores de API : una capa de abstracción similar a un cliente sobre las claves de API. En pocas palabras, los consumidores de API son clientes de API para la autenticación de sistema a sistema (desarrolladores, socios, aplicaciones móviles). Permiten a nuestros clientes generar claves API y configurar autorizaciones basadas en los roles y permisos asignados a cada consumidor de API. Nuestras claves API heredan el alcance de la configuración de acceso del consumidor de API que las crea y nuestra implementación también viene con funcionalidad adicional para abordar los riesgos asociados con la administración de claves.
  • Control de acceso basado en roles : los clientes pueden aplicar un control de acceso flexible basado en roles a todos los puntos finales de API. Obtienen control total para determinar quién tiene acceso a los consumidores de API, cómo y cuándo se generan y caducan las claves de API, cuándo rotar las claves, etc.
  • Capacidad de establecer un tiempo de vida específico (TTL): con Mambu, los usuarios pueden establecer un tiempo de vencimiento automático para cualquier clave API que creen.
  • Rotación segura de claves : las claves API se pueden rotar fácilmente cuando sea necesario utilizando una clave secreta. Las claves de reemplazo se vuelven a emitir de forma segura y los clientes pueden configurar un TTL adecuado.
  • API Key Hashing: las claves se almacenan con cifrado en reposo y se procesan mediante hash para mayor seguridad, lo que garantiza que nunca se almacenen ni se transmitan en texto sin formato.
  • Seguimiento de auditoría : con nuestra solución de seguimiento de auditoría, mantenemos un registro de todos los consumidores de API y las actividades de las claves de API.
  • Bloqueo de IP : Mambu bloquea automáticamente cualquier dirección IP que emita un total de 10 solicitudes utilizando credenciales no válidas. La rotación de claves y las fechas de vencimiento también contribuyen a reducir los riesgos de seguridad.

Mejores prácticas de claves API

Configurar el tiempo de vencimiento

Lo ideal sería agregar un tiempo de vencimiento a cada clave API que cree. El TTL (tiempo de vida) recomendado depende de su uso específico y de sus requisitos de seguridad. Puede establecer el tiempo de vencimiento para cada clave API que cree a través de la interfaz de usuario de Mambu o de las API .

Como práctica recomendada, debe cambiar/rotar sus claves API al menos una vez al año o inmediatamente después de cualquier intento de ataque.

Rotación de claves con claves secretas

La rotación de claves API le permite invalidar claves API específicas utilizando una clave secreta para la autenticación. Cuando se rota una clave a través de nuestro punto final api-consumers-rotatekey , recibirá inmediatamente una clave API de reemplazo y una nueva clave secreta en el cuerpo de la respuesta.

Como práctica recomendada, recomendamos utilizar también la caducidad automática de la clave de consumidor de API en las Preferencias de Access. De esta manera, si olvida especificar un tiempo de vencimiento para la clave de reemplazo en la solicitud de rotación, la clave caducará en el TTL establecido mediante la caducidad automática de la clave del consumidor de API, que anula el TTL establecido mediante una llamada API, lo que garantiza que no terminar con claves que nunca caducan.

Si desea obtener más información sobre cómo establecer el tiempo de vencimiento, rotar claves y generar claves secretas, consulte nuestra documentación de soporte Claves API.

Hash de clave API

Para mejorar aún más la protección, las Claves API se almacenan mediante un proceso de encriptación, a través de nuestros sistemas de gestión de Claves API, cumpliendo con los más altos estándares de seguridad.

¿Qué sigue para los consumidores y las claves API de Mambu?

En Mambu, confiamos en nuestra implementación personalizada de claves API y consumidores de API y estamos realizando mejoras continuamente para mantenernos al día con los estándares del mercado y, al mismo tiempo, ser proactivos en la identificación y la vanguardia en las necesidades cambiantes de los clientes. En el transcurso del próximo año, planeamos agregar nuevas capacidades a nuestra solución de autenticación y autorización de API para reforzar aún más la seguridad.

Las opiniones compartidas y expresadas por los analistas son libres e independientes, y solamente sus autores son responsables de ellas. No reflejan ni comprometen el pensamiento o la opinión del equipo de Latam Fintech Hub y, por lo tanto, no pueden interpretarse como recomendaciones emitidas por la plataforma. Esta plataforma es un espacio abierto para promover la diversidad de puntos de vista en el ecosistema Fintech.

Este contenido es solo para
usuarios Prime 👑 del Hub.

Hacer upgrade ▸
Apoyado por:
habilitando la creación de ecosistemas digitales para las instituciones financieras
Contacta al equipo
No items found.

Fintechs en
tendencia del Hub

No items found.

Ecosistema Fintech

¿Alguna novedad que quieras compartirnos?
escrÍbenos a hola@latamfintech.co
¿Alguna novedad que quieras compartirnos?
escrÍbenos a hola@latamfintech.co

Últimos movimientos

¿Alguna novedad que quieras compartirnos?
escrÍbenos a hola@latamfintech.co
¿Alguna novedad que quieras compartirnos?
escrÍbenos a hola@latamfintech.CO

Más Insights

Por
Lyra
Lyra
Pasarela de pagos gateway
Paytech 💳

Nuestra comunidad

WHATSAPP
✨ Nuevo!
Tenemos un canal de Whatsapp donde contamos todos los movimientos en la industria.
Usuario pRIME 👑
Acceso ilimitado. Desbloquee la cobertura exclusiva, entrevistas con CEOs, eventos especiales y más.
Activar suscripción
RESUMEN SEMANAL
Todas las semanas envíamos a tu email un resumen con todos los avances en el ecosistema Fintech.
Abrir el Blueprint
Grupo de SLACK
Tenemos un grupo de Slack con todos los miembros registrados del Hub para que sigamos conversando.
uNIRSE AL GRUPO