DOKUMENTACJA DLA PROGRAMISTYCZNEGO INTERFEJSU APLIKACJI UWZGLĘDNIAJĄCEGO LISTĘ OSTRZEŻEŃ PUBLICZNYCH KNF (LOP) ORAZ BAZĘ OSTRZEŻEŃ ZAGRANICZNYCH ORGANÓW NADZORU (BOZON)

Przykładowy cały obiekt jednego podmiotu zapisany w pliku JSON

  {
    "Company": "Universal Markets",
    "Regulator": "Financial Services and Markets Authority",
    "Jurisdiction": "Belgium",
    "Date": "02 Apr 2020",
    "Subject": "Regarding market intermediaries (investment and trading advisers, collective investment schemes, brokers, dealers, and transfer agents)",
    "Comments": "Fraudulent online trading platforms",
    "Link": "https://www.fsma.be/en/warnings/fraudulent-online-trading-platforms-fsma-updates-its-list-suspicious-sites-0",
    "details": {
      "website": "www.umarkets.io",
      "address": "Suite 305, Griffith Corporate Centre, Beachmont, Kingston, ST. VINCENT AND THE GRENADINES",
      "domain": "io",
      "polish": {
        "domain_suffix_pl": false,
        "polish_menu": true,
        "has48": false
      },
      "is_wayback": true,
      "url": "https://web.archive.org/web/20210308035834/http://www.umarkets.io/#",
      "lopknf": true
    },
    "group": "Universal Markets",
    "DB": "OZON"
  },

Programistyczny interfejs aplikacji definiuje wyłącznie dwie role biorące udział w przesyłaniu danych:

• Urząd Komisji Nadzoru Finansowego – właściciel Listy Ostrzeżeń Publicznych (LOP) oraz Bazy Ostrzeżeń Zagranicznych Organów Nadzoru (BOZON). UKNF jako autor rozwiązania udostępnia programistyczny interfejs aplikacji (API), podmiotom na rynku finansowym.

• Podmiot z rynku finansowego – podmiot, który pozyskuje dane i zasila nimi swoje systemy lub aplikacje.

Podmioty, które chcą pozyskać dane o podmiotach znajdujących się na Liście Ostrzeżeń Publicznych (LOP) oraz w Bazie Ostrzeżeń Zagranicznych Organów Nadzoru (BOZON) będą mieć dostępną operację typu GET. API wykorzystuje standardowe metody http. W przypadku API, będzie wykorzystywana operacja pobierania danych z obiektu JSON. Klient (w tym przypadku podmiot z rynku finansowego), wysyła żądanie GET do serwera, na wskazany adres URL. Serwer dostaje zapytanie i odsyła na żądanie odpowiedni zakres danych, o które został zapytany.

Dane zawarte na Liście Ostrzeżeń Publicznych (LOP) oraz Bazie Ostrzeżeń Zagranicznych Organów Nadzoru (BOZON) są dostępne na stronie:

Dane mają charakter otwarty i publiczny. Zgodnie z podstawami prawnymi dotyczącymi podmiotów, które zostały wpisane na Listę Ostrzeżeń Publicznych (LOP), Urząd Komisji Nadzoru Finansowego ma możliwość publikowania danych.

Usługa API LOP realizowana jest:

• W ramach dostarczonego interfejsu podmiot ma możliwość pobrania całego pliku JSON.

• W ramach dostarczonego interfejsu podmiot ma możliwość pobrania wybranych właściwości obiektu, które są zawarte w pliku JSON.

• Aktualizacja Listy Ostrzeżeń Publicznych (LOP) oraz Bazy Ostrzeżeń Zagranicznych Organów Nadzoru (BOZON) odbywa się co 21 dni.

• Urząd Komisji Nadzoru Finansowego, udostępnił podmiotom z rynku finansowego interfejs graficzny, przy pomocy którego można wywoływać zapytania udostępnionego API.

Usługa API LOP będzie udostępniona pod adresem zgodnym z następującym wzorcem:

https://bozon-api.fintech.gov.pl/

https://bozon-api.fintech.gov.pl/docs

https://bozon-api.fintech.gov.pl/{nazwa_właściwości}?{parametr}

https://bozon-api.fintech.gov.pl/{lista}

https://bozon-api.fintech.gov.pl/{lista}/nazwa_właściwości}?{parametr}

• LISTA - w programistycznym interfejsie aplikacji, znajdują się dwie listy: Lista Ostrzeżeń Publicznych (LOP) oraz Baza Ostrzeżeń Zagranicznych Organów Nadzoru (BOZON).

• NAZWA WŁAŚCIWOŚCI - API posiada wiele różnych właściwości, które zawierają informacje o podmiotach.

• PARAMETR - Każda właściwość posiada swoje parametry, które można przypisywać.

• DOCS - wersja interaktywna API LOP.

Nagłówki odpowiedzi

Programistyczny interfejs aplikacji jest udostępniony pod adresem Domain Name System:

bozon-api.fintech.gov.pl

Podmiot, który chce uzyskać dane pochodzące z Listy ostrzeżeń publicznych oraz Bazy ostrzeżeń zagranicznych organów nadzoru, będzie musiał nawiązać połączenie komunikacyjne z szyfrowaniem Secure Sockets Layer (SSL) lub Transport Layer Security (TLS). Wymagane jest od podmiotu, aby komunikował się poprzez ważną sesję komunikacyjną. Otrzymanie prawidłowej odpowiedzi ze strony serwera, który dostarczy obiekt JSON będzie miało status 200, jeżeli wszystkie powyższe wymagania zostaną spełnione.

Realizacja dostępu w ramach usługi interfejsu LOP API odbywa się w ramach dedykowanej, odrębnej sesji komunikacyjnej. Dopuszczalne jest wielokrotne wykorzystanie tej samej sesji komunikacyjnej, przy wysyłaniu żądań do usług interfejsu, przy zachowaniu czasu ważności tej sesji komunikacyjnej, po której zostanie ona automatycznie unieważniona przez UKNF.

Podmiot otrzyma dane w formacie JSON z kodowaniem UTF-8. Wszystkie komunikaty mają zdefiniowaną strukturę obiektu. Nazwy parametrów są zapisane w postaci lowercase.

Podczas wdrażania API, należy uwzględnić środki ochrony przed nadmierną liczbą żądań ze strony użytkowników, w szczególności ataków DDoS/DoS, poprzez zastosowanie mechanizmów ograniczających liczbę żądań obsługiwanych w jednostce czasu. Wartości tych limitów powinny być dostosowane do konkretnych warunków operacyjnych i podlegać parametryzacji. W celu monitorowania liczby żądań dostępu do zasobów, należy wykorzystać dostępne mechanizmy oraz liczniki po stronie serwera. W przypadku przekroczenia limitów, serwer powinien zwrócić komunikat HTTP numer 429 (Too Many Requests).

Nasze serwery decydują, czy klient jest strona zaufaną i na tej podstawie ustawia odpowiednie nagłówki. Przy pomocy nagłówków przeglądarka dostaje informacje, czy może udostępnić dane do podmiotu, który chce je pozyskać.

W przypadku, gdy serwer stwierdzi, że zapytania do API są niezaufane, zostanie wysłana odpowiedź do przeglądarki, która po analizie nagłówków z odpowiedni nie wyświetli danych pobranych z API.

Programistyczny interfejs aplikacji działa tylko na protokole HTTP, który jest chroniony przy pomocy szyfrowania protokołu TLS. Udostępnione szyfrowanie ma zapobiegać próbom modyfikacji danych oraz zabezpieczać, każdą ze stron komunikacji.