niedziela, Listopad 18

Najlepszy klucz nie otworzy drzwi bez działającego zamka. Czym jest OpenAPI i jakie wymagania stawia przed bankami? Cz. 1

Google+ Pinterest LinkedIn Tumblr +

Open banking, czyli otwarta bankowość to ostatnio bardzo popularny temat. Często mówi się o otwarciu banków na podmioty trzecie (Third Party Providers – TPP), co ma ułatwić konsumentom korzystanie z innowacji technologicznych, jakie oferują m.in. FinTechy. Pięknie brzmi i napawa optymizmem co do kierunku rozwoju rynków finansowych, ale czym tak naprawdę jest ta otwarta bankowość i jakie wymogi stawia przed bankami i dostawcami usług płatniczych?

Dyrektywa PSD2 wraz z towarzyszącym jej Rozporządzeniem delegowanym Komisji 2018/389, a także ustawa o usługach płatniczych składają się w Polsce na ramy prawne otwartej bankowości. Otwartą bankowość można określić jako zobowiązanie banków będących dostawcami usług płatniczych prowadzącymi rachunki (drzwi) do udzielenia dostępu innym dostawcom niebędącymi bankami (klucze).

API, czyli w jaki sposób następuje otwarcie

Otwarcie się banków następuje za pomocą specjalnego interfejsu – API (Application Programming Interface), który umożliwia podłączenie się do systemów informatycznych obsługujących rachunki. Co istotne, z takiego interfejsu mogą skorzystać dostawcy, którzy dostarczają jedną z usług, tj.: (i) dostępu do informacji o rachunku (AIS) lub (ii) inicjowania płatności (PIS) oraz (iii) wydawania instrumentów płatniczych. Zakres informacji, które są z kolei udostępniane tym dostawcom przez bank jest różny, o czym w dalszej części artykułu. Inny jest również zakres obowiązków, które poszczególne kategorie dostawców muszą spełnić w związku z wykorzystaniem dostępu. 

API jest zestawem określonych reguł i procedur, czy procesów, które – po spełnieniu szeregu warunków technicznych – umożliwiają podłączenie się do programu i docelowo – zassanie danych. Upraszczając, to taka część programu, która daje możliwość skorzystania z innego programu (z wykorzystaniem kodu źródłowego). Podobnie jest w przypadku OpenAPI w bankowości. Nie będę tutaj wchodził w zawiłości techniczne, bo i nie mam ku temu kompetencji, ale warto wskazać, że uzyskanie dostępu do rachunków bankowych nie jest prostą czynnością polegającą na “otwarciu drzwi” za pomocą specjalnego klucza, ale wymaga odpowiednich przygotowań, w tym w zakresie posiadanych rozwiązań infrastrukturalnych.

Zdjęcie: wyciąg ze specyfikacji PolishAPI.

No właśnie… A jakie wymogi musi bank?

W tym artykule skupię się na bankach oferujących swoim klientom dostęp do rachunku za pomocą internetu. W kolejnej odsłonie przyjrzę się również tym obowiązkom, które dotyczą TPP.

Pierwszym i najważniejszym obowiązkiem na którym opiera się cała otwarta bankowość to obowiązek posiadania odpowiedniego interfejsu dostępowego. Taki interfejs musi udostępniać TPP: (i) możliwość identyfikowania się względem banku; (ii) możliwość pozyskiwania informacji o rachunkach (AIS); (iii) możliwość zainicjowania transakcji płatniczej i uzyskania informacji odnośnie realizacji transakcji (PIS).

Ponieważ niezwykle istotnym aspektem wprowadzenie PSD2 jest kwestia bezpieczeństwa danych dotyczących rachunków oraz ich użytkowników, interfejsy dostępowe muszą umożliwiać TPP opcję uwierzytelniania opartą na tych samych zasadach, jak dla “właściciela” rachunku płatniczego. Pozwala to dostawcom na świadczenie bezpiecznej usługi, która wymaga uwiarygodnienia się użytkownika (klienta) względem TPP, jak i banku, a tym samym ogranicza ryzyko oszustw.

W ramach tego wymogu interfejs dostępowy musi spełniać wymogi szczegółowe. Przede wszystkim musi on udostępniać możliwość zlecenia bankowi przez TPP (AIS lub PIS) zainicjowania uwierzytelniania na podstawie zgody udzielonej przez użytkownika (właściciela rachunku) – wyrażenie zgody odbywa się poprzez akceptację warunków świadczenia usługi (uwierzytelnienie może nastąpić np. poprzez przekierowanie na stronę banku – redirection). Ponadto, wszystkie sesje, które zmierzają do wykonania określonej usługi muszą być utrzymywane przez czas potrzebny do uwierzytelniania użytkownika. I wreszcie najważniejsze – interfejs musi zapewniać integralność i poufność danych uwierzytelniających, jak również kodów uwierzytelniających dostarczanych przez TPP.

Jest jeszcze jedno – interfejs musi spełniać określone normy, w tym przykładowo normy Europejskiego Instytutu Norm Telekomunikacyjnych (TS 119 495).

Jak wdrożyć API? Ułatwienia dla TPP

Ogólną zasadą jest, że bank powinien udostępnić interfejs na obiektywnych, niedyskryminujących i proporcjonalnych zasadach. Oznacza to, że co do zasady, nie może on odmówić TPP dostępu. Co do zasady, ponieważ jeżeli stwierdzi, że taki dostawca nie daje rękojmi bezpieczeństwa, to może odmówić takiego dostępu, przy czym musi również poinformować o tym KNF (w terminie 7 dni) i podać uzasadnienie odmowy.

Aby móc skorzystać z korzyści jakie daje OpenAPI należy przygotować odpowiednie oprogramowanie. W tym celu bank musi udostępnić odpowiednią dokumentację, która zawiera zestaw procedur, protokołów i narzędzi niezbędnych do “zbudowania” dostępu. Przykład takiej dokumentacji można znaleźć np. tutaj (PolishAPI).

Taką dokumentację udostępnia się nieodpłatnie na wniosek zarejestrowanego podmiotu (posiadającego zezwolenie lub wpisanego do rejestru małych instytucji płatniczych) w terminie 6 miesięcy przed datą stosowania. Streszczenie takiej dokumentacji musi znaleźć się na stronie internetowej banku. W przypadku, gdy planowane są zmiany w specyfikacji technicznej i/lub biznesowej interfejsu, bank ma obowiązek poinformować z wyprzedzeniem (nie później niż 3 miesiące przed planowanym wprowadzeniem zmian). Wyjątkiem są sytuacje nadzwyczajne.

A co z testami?

Sprawdzenie czy interfejs banku współgra z aplikacją TPP wymaga odpowiednich testów w zakresie połączenia i funkcjonalności. W tym celu banki mają obowiązek do 14 marca 2019 r. udostępnić swoje środowisko testowe obejmujące oprogramowanie i aplikacje płatniczych. Co istotne, środowisko testowe nie może umożliwiać wymiany danych szczególnie chronionych, a więc ma ono charakter wirtualny – to odróżnia te testy od tych prowadzonych przez KNF w ramach piaskownicy regulacyjnej. Niektóre banki już udostępniły swoje API. Liczyć należy, że pełne otwarcie nastąpi przed 14 marca, tym bardziej, że niespełnianie wymogów w tym zakresie przez bank nie zwalnia go z obowiązku zapewnienia funkcjonowania odpowiednich usług płatniczych przez TPP. To duża szansa dla FinTechów na nawiązanie ścisłej współpracy z bankami i dostarczanie usług, które są bezpieczne i efektywne, przynosząc jednocześnie korzyść konsumentom, jak i pozostałym uczestnikom. 

W kolejnej odsłonie artykułu opiszę szczegółowe wymogi w zakresie bezpieczeństwa.

Udostępnij.

Zostaw komentarz