Sicherheitsvorgaben für Webhooks

Für FIT-Connect und weitere APIs werden einheitliche Designvorgaben für sichere Umsetzungen gebaucht, die sich an gängigen Good Practices orientieren. (bspw. https://code.likeagirl.io/best-practice-to-secure-your-webhooks-618684813723, https://workos.com/blog/building-webhooks-into-your-application-guidelines-and-best-practices, https://www.easywebhooks.com/how-to-secure-a-webhooks-api) Diese Designvorgaben sollte konsistent zu den sonstigen Kryptographievorgaben in FIT-Connect sein.

Insbesondere IP/Domain Whitelisting (https://stripe.com/docs/ips#stripe-domains) könnte wichtig sein, da die Erfahrungen aus dem PoC letztes Jahr gezeigt haben, dass das öffnen der RZ Infrastruktur für Webhook zwar machbar, aber doch sensibel war.

Akzeptanzkriterien

• Der Callback soll nur die minimal notwendigen Daten für die Benachrichtigung beinhalten, damit der Client korrekt reagieren kann. Der eigentliche Status ist nicht Teil der Benachrichtigung.
• Für Sender und Subscriber gelten die selben Sicherheitsvorgaben.
• Zustelldienst muss Zugriff haben
• HTTPS-only
• Callback-Adressen müssen mit Status-Code 200 antworten