<div dir="ltr">Forwarding this to the FAPI list on behalf of Anoop<br><div class="gmail_quote"><div bgcolor="white" lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_8494211677441893142WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt"> <u></u></span></p>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="color:black">From: </span></b><span style="color:black">"Mahalaha, Anil" <<a href="mailto:anil.mahalaha@fmr.com" target="_blank">anil.mahalaha@fmr.com</a>><br>

<b>Date: </b>Tuesday, August 22, 2017 at 2:01 PM<br>

<b>To: </b>Anoop Saxena <<a href="mailto:Anoop_Saxena@intuit.com" target="_blank">Anoop_Saxena@intuit.com</a>>, "Stephens, Clint" <<a href="mailto:clint.stephens@citi.com" target="_blank">clint.stephens@citi.com</a>><br>

<b>Cc: </b>"Cardinal, Don" <<a href="mailto:don.cardinal@bankofamerica.com" target="_blank">don.cardinal@bankofamerica.com</a>>, "Chetuparambil, Madhu" <<a href="mailto:Madhu_Chetuparambil@intuit.com" target="_blank">Madhu_Chetuparambil@intuit.com</a>><br>

<b>Subject: </b>RE: FAPI question - FS-ISAC / FAPI Security Model Convergence Proposal<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt"><u></u> <u></u></span></p>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">Anoop,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">My thoughts on the API part of FAPI</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">FAPI should make reference to DDA for API definition. Protocol (Get, Post), Headers, RESTful API design, Resource names, etc. Given that FAPI is not defining schema in their specifications they

 can just point out that schema outlined in the DDA is for US only and serves as guidance to other Regions wishing to define their own schemas. The benefit of FAPI pointing to DDA is that it will reduce confusion for US adopters and enable other Regions to

 leverage API definition work being done in the US. In the future if other Regions standardize on their own schemas then we can include them in the DDA Specifications and propose identifying the region in the URL path.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">e.g.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"><a href="https://dda.domain.com/myco/" target="_blank">https://dda.domain.com/myco/</a><b>amer</b>/accountsdetails/1.0</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"><a href="https://dda.domain.com/myco/" target="_blank">https://dda.domain.com/myco/</a><b>emea</b>/accountsdetails/1.0</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"><a href="https://dda.domain.com/myco/" target="_blank">https://dda.domain.com/myco/</a><b>apac</b>/accountsdetails/1.0</span><u></u><u></u></p>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">Thanks,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d">Anil</span><u></u><u></u></p>

</div>

<p class="MsoNormal"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Saxena, Anoop [mailto:<a href="mailto:Anoop_Saxena@intuit.com" target="_blank">Anoop_Saxena@intuit.com</a>]

<br>

<b>Sent:</b> Saturday, August 19, 2017 4:50 PM<br>

<b>To:</b> Stephens, Clint <br>

<b>Cc:</b> Cardinal, Don; Mahalaha, Anil; Chetuparambil, Madhu; Saxena, Anoop<br>

<b>Subject:</b> Re: FAPI question - FS-ISAC / FAPI Security Model Convergence Proposal</span><u></u><u></u></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Hello Clint,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Sounds good. Let’s review after completion of phase1 control consideration document and share with FAPI team.

</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Also, we can discuss & explore with FAPI/OpenID connect group about unified group effort. I am travelling week of 8/21, will connect with you on unified group effort in the later part

 of the week or next week.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Thanks,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Anoop</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-left:.5in"><b><span style="color:black">From: </span>

</b><span style="color:black">"Stephens, Clint" <<a href="mailto:clint.stephens@citi.com" target="_blank">clint.stephens@citi.com</a>><br>

<b>Date: </b>Friday, August 18, 2017 at 10:48 AM<br>

<b>To: </b>Anoop Saxena <<a href="mailto:Anoop_Saxena@intuit.com" target="_blank">Anoop_Saxena@intuit.com</a>><br>

<b>Cc: </b>"Cardinal, Don" <<a href="mailto:don.cardinal@bankofamerica.com" target="_blank">don.cardinal@bankofamerica.com</a>>, "Mahalaha, Anil" <<a href="mailto:Anil.Mahalaha@fmr.com" target="_blank">Anil.Mahalaha@fmr.com</a>>, "Chetuparambil, Madhu" <<a href="mailto:Madhu_Chetuparambil@intuit.com" target="_blank">Madhu_Chetuparambil@intuit.com</a>><br>

<b>Subject: </b>RE: FAPI question - FS-ISAC / FAPI Security Model Convergence Proposal</span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

</div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">Anoop,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">Hi. Regarding security model convergence, the position we’ve discussed is to converge the FAPI security model into the FS-ISAC aggregation security model given the similar

 content and use through absorption of the FAPI documentation into the <i>Control Considerations</i> document. We are currently updating the working group’s phase 1

<i>Control Considerations</i> document to include new topics, the RFPs and updates to some of the phase 1 content. The updated document should be ready for FS-ISAC review by 8/31.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">I would propose that upon completion of a reviewed FS-ISAC draft of the

<i>Control Considerations</i> document, the FAPI team review and propose changes to ensure completeness and cohesiveness of that FS-ISAC document as we move into a more permanent unified group effort, which would eliminate the need to continue forward with

 the FAPI security model.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">What’s your thoughts on this?</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">Thanks,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d">Clint</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;color:#1f497d"> </span><u></u><u></u></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma",sans-serif"> Saxena, Anoop [<a href="mailto:Anoop_Saxena@intuit.com" target="_blank">mailto:Anoop_Saxena@intuit.com</a>]

<br>

<b>Sent:</b> Thursday, August 10, 2017 8:06 PM<br>

<b>To:</b> Mahalaha, Anil; Cardinal, Don; Stephens, Clint [CCC-OT]; Chetuparambil, Madhu<br>

<b>Subject:</b> FAPI question</span><u></u><u></u></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Hello Anil/Clint/Don,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">Thank you for inviting me to API Sub-committee. Great to see lot of engagement in discussion today.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt">I missed few meetings and not sure if we landed on any recommendation.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:1.0in">

<u></u><span>1.<span style="font:7.0pt "Times New Roman"">     

</span></span><u></u><span style="font-size:11.0pt">Use of security profile from FAPI</span>

<u></u><u></u></p>

<p class="MsoNormal" style="margin-left:1.5in">

<u></u><span>a.<span style="font:7.0pt "Times New Roman"">     

</span></span><u></u><span style="font-size:11.0pt">What was the decision here?</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:1.0in">

<u></u><span>2.<span style="font:7.0pt "Times New Roman"">     

</span></span><u></u><span style="font-size:11.0pt">Data (DDA) </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:1.5in">

<u></u><span>a.<span style="font:7.0pt "Times New Roman"">     

</span></span><u></u><span style="font-size:11.0pt">If I recall, this is a different region and decided to keep separate.</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Times New Roman",serif">Thanks,</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Times New Roman",serif"> </span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Times New Roman",serif">Anoop Saxena</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Times New Roman",serif">Architect<br>

<b>Intuit | simplify the business of life<sup>tm</sup></b><br>

o: 818-436-8524        m: 8182974282</span><u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"> <u></u><u></u></p>

</div>

</div>

</div></div><div dir="ltr">-- <br></div><div class="gmail_signature" data-smartmail="gmail_signature"><p dir="ltr">Nat Sakimura</p>

<p dir="ltr">Chairman of the Board, OpenID Foundation</p>

</div>