<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Dear FAPI Working Group</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We are very close to resolving the final issues for the FAPI 2.0 Security Analysis - thank you to everyone who has contributed.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">If possible please can I get some reviews of the following PRs before tomorrow's call:</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><b>Security Consideration:</b></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><a href="https://bitbucket.org/openid/fapi/pull-requests/514/overview">https://bitbucket.org/openid/fapi/pull-requests/514/overview</a> - This is an attempt to address the recommendations from here: <a href="https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion">https://www.cisa.gov/resources-tools/resources/CSRB-Review-Summer-2023-MEO-Intrusion</a>. I grouped the recommendations under a security consideration around key compromise. However it would be good to get feedback from vendors on the wording, especially the wording around stateful vs stateless credentials. <b><br></b></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><b>Note for Conformance:</b></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><a href="https://bitbucket.org/openid/fapi/pull-requests/513/diff">https://bitbucket.org/openid/fapi/pull-requests/513/diff</a> - This gives guidance on when implementers should comply with new BCP195 iterations<br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><b>Editorial:</b></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><a href="https://bitbucket.org/openid/fapi/pull-requests/512">https://bitbucket.org/openid/fapi/pull-requests/512</a> - Addling a link to the FAPI 2 Security Analysis<br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thank you</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Dave</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div></div>

<br>
<p dir="ltr"><font size="1">Moneyhub Enterprise is a trading style of Moneyhub Financial Technology Limited which is authorised and regulated by the Financial Conduct Authority ("FCA"). Moneyhub Financial Technology is entered on the Financial Services Register (FRN 809360) at <a href="https://register.fca.org.uk/" target="_blank">https://register.fca.org.uk/</a>. Moneyhub Financial Technology is registered in England & Wales, company registration number 06909772. Registered address: C/O Roxburgh Milkins Limited Merchants House North, Wapping Road, Bristol, United Kingdom, BS1 4RW, United Kingdom. Moneyhub Financial Technology Limited 2024 © Moneyhub Enterprise.</font><br></p><p dir="ltr" style="font-weight:bold"><span style="color:rgb(128,128,128);font-family:Arial;font-weight:400"><font size="1">DISCLAIMER: This email (including any attachments) is subject to copyright, and the information in it is confidential. Use of this email or of any information in it other than by the addressee is unauthorised and unlawful. Whilst reasonable efforts are made to ensure that any attachments are virus-free, it is the recipient's sole responsibility to scan all attachments for viruses. All calls and emails to and from this company may be monitored and recorded for legitimate purposes relating to this company's business. Any opinions expressed in this email (or in any attachments) are those of the author and do not necessarily represent the opinions of Moneyhub Financial Technology Limited or of any other group company.</font></span></p><br>