Что такое открытый банкинг
Несколько вещей, которые разработчику стоит знать об Open Banking
Меня зовут Роланд Местерс, я СЕО и сооснователь компании Nordigen. Сегодня хотелось бы поговорить о некоторых нюансах Open API (Open Application Programming Interface) в отношении разработчиков. Они могут пригодиться тем специалистам, которые работают в банковской и финансовой отрасли. Поскольку я непосредственно занимаюсь вопросом открытого банкинга, то и поделиться есть чем.
Что это такое?
Одной из первых стран, которая предложила концепцию открытого банкинга, стала Великобритания. Так, в 2012 году был создан Open Data Institute, который занимался изучением открытой технологии передачи данных. В 2014 году эта организация выпустила отчет, где рассказывалось о возможностях API для data sharing. Ну а еще год спустя была основана организация Open Banking Working Group, которая занималась изучением того, как «данные могут быть использованы, чтобы помогать людям платить, экономить, давать и брать взаймы и инвестировать деньги, и обеспечивать стандарты для защиты этих данных».
В сентябре 2018 года технология open banking использовалась 6,5 млн раз. Всего через два месяца, в ноябре, насчитывалось уже 17,5 млн использований.
В РФ open banking тоже развивается, хотя и не особенно быстро. Важную роль в развитии технологии влияет регулятор, то есть Центробанк, который отвечает на запросы рынка, вовлекая в обсуждение технологии представителей отрасли.
О самой технологии можно рассказывать долго, но формат статьи вряд ли позволит добавить всю ту информацию, которую хотелось бы. Поэтому поговорим о нюансах banking API, причем не «в вакууме», а в отношении к разработке и разработчикам.
Так вот, важно знать, что API открытого банкинга, в отличие от модульного подхода, сравнительно просто адаптируются для разных приложений. Это позволяет банкам предлагать клиентам широкий спектр платежных сервисов, интегрированных в единое целое.
Наконец, open banking обеспечивает безопасность интернет-магазинов, нивелируя угрозу компрометации данных и мошенничества. Дело в том, что у open banking весьма серьезная система аутентификации клиентов, разработанная согласно требованиям регуляторов. Также стоит отметить, что требования регуляторов в области безопасности способствуют развитию технологии биометрической аутентификации. Таким образом, у мошенников остается меньше возможностей для перехвата транзакций и использования платежей в своих интересах.
Что там слышно про open banking API в РФ?
В целом, Центробанк активно действует в направлении развития технологий Open Banking. Так, регулятор разработал уже два стандарта безопасности, которые направлены на работу с API. Эти стандарты рекомендованы к использованию для:
Участников получения информации о банковском счете (банков и их клиентов, а также сторонних поставщиков);
Участников перевода денежных средств (банков и их клиентов, а также сторонних поставщиков);
Разработчиков информационного обеспечения и ПО, информационных систем.
В целом, open banking — прямой путь к развитию банковских и финансовых сервисов и услуг. Концепция задумывалась как инструмент для взаимодействия банков — не в одной стране, а по всему миру, а также для интеграции новых технологий финтех индустрии. Эта идея постепенно реализуется, так что в ближайшем будущем open banking позволит упростить жизнь как банкам, так и их клиентам.
Что такое открытый банкинг?
Открытый банкинг (англ. Open Banking) — это новая концепция, которая сформировалась на основе директивы PSD2 и Open API. Основная цель открытого банкинга – повысить качество клиентского обслуживания и поспособствовать развитию новых финансовых продуктов.
С помощью открытого банкинга банки смогут проще обмениваться данными со сторонними компаниями (third party providers, TTP) – предоставлять доступ к данным счетов клиентов и платежной инфраструктуре с использованием интерфейсов прикладного программирования (Open API).
Одно из ключевых преимуществ Open Banking — «разворачивание» клиентоориентированного банковского сервиса, улучшенное качества обслуживания клиентов, большее количество услуг в более удобном для него формате.
В чем преимущество Open Banking для потребителей?
Для клиентов, открытый банкинг означает повышение качества и разнообразия услуг. Благодаря Open Banking, клиенты получат:
Персонализация предложения Конфиденциальность и безопасность открытого банкинга
Как банки, так и сторонние компании применяют строгие меры конфиденциальности и безопасности для защиты и шифрования конфиденциальных данных. Конфиденциальность и безопасность открытого банкинга обеспечивается различными регулятивными актами.
Общее положение о конфиденциальности данных (GDPR) требует согласие клиента на обмен данными. Нормативные технические стандарты по строгой аутентификации клиентов (RTS SCA) определяют требования для обеспечения строгой аутентификации клиентов в соответствии с PSD2, как например, использование многофакторной аутентификации. Регламент Европейского союза об услугах электронной идентификации и аутентификации (eIDAS) устанавливает стандарт электронной идентификации для обеспечения безопасных онлайн-транзакций по всей Европе
Регулирование открытого банкинга в Европе
Европейский Союз разработал единую правовую основу для открытой банковской экосистемы. Для регулирования платежных услуг и поставщиков платежных услуг в Европейском союзе (ЕС) и Европейском экономическом пространстве (ЕЭЗ) была введена платежная директива PSD2 (Payment Services Directive).
Macrobank – платформа цифрового банкинга, которая позволяет финтех-компаниям запускать свои цифровые банки. Macrobank обеспечивает все необходимые функции для цифровых банков, бэк-офис для контроля и управления операциями, веб и мобильные аппликации для конечных пользователей по модели white-label, а также готовые интеграции с различными сервисами. Доступно как SaaS решение, так и покупка лицензии на программное обеспечение.
Помимо платформы Цифрового банкинга, услуги Advapay включают в себя профессиональный финтех консалтинг, помощь в лицензировании платежных систем или эмитентов электронных денег.
Свяжитесь с нами сегодня, чтобы узнать, как Advapay может помочь вам запустить свою финтех-компанию.
Риски Open Banking
Волны цифрового шторма накрывают всё больше секторов экономики, формируя новую реальность. Финансовая отрасль не стала исключением: страны одна за другой разрабатывают и внедряют революционный подход к работе кредитных учреждений — концепцию открытого банкинга или Open Banking.
Open Banking — это унифицированный программный интерфейс к информационным системам банков. Его могут использовать разработчики финансовых приложений — финтех-компании, чтобы предоставлять клиентам финансовые сервисы нового поколения.
Взаимодействие с банками через открытый интерфейс — это не только возможности, но и риски. В этом посте рассмотрим риски и угрозы, возникающие с внедрением Open Banking, и обсудим возможные варианты защиты от них.
О финтех-компаниях
Несмотря на стремление банков создавать инновационные финансовые продукты, им сложно конкурировать в этом плане с финтех-компаниями, которые не связаны требованиями регулятора и внутренними регламентами. А конкуренция между банками и стремление привлечь клиентов на обслуживание именно к себе накладывает естественные ограничения на создание сервисов, интегрирующих услуги нескольких кредитных учреждений.
Финтех-компании выгодно отличаются от консервативных банков. Они могут позволить себе привлекать клиентов из разных банков, оперативно вводить новые нестандартные продукты, используя все преимущества независимости от регулятора.
Динамичный характер финансово-технологических компаний в какой-то степени является следствием их организационных особенностей. Анализ провайдеров финансовых технологий, проведённый Trend Micro в рамках подготовки исследования «Ready or Not for PSD2: The Risks of Open Banking», показал, что большая часть таких компаний:
Цели для атак, связанных с Open Banking
Публичные API банков
Open API, внедряемый в европейских банках в соответствии с PSD2 — «Пересмотренной директивой о платёжных услугах» — лишь часть большого процесса. Внедрение подобных программных интерфейсов происходит во многих странах. Где-то эти работы — инициатива объединения частных компаний и банков. Например, разработка Durable Data API в США поддерживается некоммерческим объединением FDX, дочерней компанией информационно-аналитического центра финансовых услуг (FS-ISAC). Правительства других стран предпочитают полностью контролировать процесс, подобно Мексике, принявшей Закон о Финтехе (Fintech Law), или Австралии, в которой открытие финтеху доступа к программным интерфейсам банков — лишь часть большого пула мероприятий под названием Consumer Data Right.
Лавинообразный рост внедряемых в мире финансовых API. Источник: Trend Micro
Увеличение числа публичных банковских API неизбежно приведёт к росту попыток использовать его для получения прибыли. Зачем взламывать защиту банка, если имеется интерфейс, через который можно цивилизованно подключиться к автоматизированной системе и перечислить себе пару миллионов?
Проведённое Trend Micro исследование выявило значительное количество банков, раскрывающих конфиденциальную информацию — одноразовые пароли, маркеры доступа, е-мейлы, IMEI и данные о транзакциях в URL-адресах API и сайтов.
И хотя использование SSL защищает от перехвата трафика, передача такой информации в URL опасна тем, что эти параметры:
В некоторых браузерах история просмотров является общей для различных устройств, например, ноутбука, смартфона и планшета. Отображение конфиденциальной информации в URL потенциально ослабит эффективность многофакторной аутентификации, позволив хакерам атаковать наименее защищённые устройства для кражи этой информации.
Пример из реальной жизни: Европейская финтех-компания с миллионами клиентов опубликовала документацию по API, где указано, что в URL-адресах API передаются е-мейл, пароль, секретный код и идентификатор клиента.
Источник: Trend Micro
Ещё один способ злонамеренного использования публичных API — DoS/DDoS-атаки. Любой заинтересованный хакер может попытаться методом проб и ошибок подобрать комбинацию параметров, которые вызовут отказ сервиса.
Мобильные приложения
Помимо традиционных атак на мобильные приложения с использованием оверлеев и других привычных вариантов, дополнительную опасность влечёт за собой применение SDK от сторонних разработчиков.
Известны случаи, когда в них внедрялись вредоносные функции, которые подписывали пользователя программы, использующей эту библиотеку, на премиум SMS или платные сервисы, подобно ExpensiveWall, внедрённой в библиотеку gtk, или DrainerBot, внедрённому в Tapcore SDK и демонстрировавшему невидимые видеоролики для накрутки их просмотров.
В некоторых случаях изначально безопасные и полезные приложения неожиданно становились вредоносными, как, например, CamScanner — Phone PDF creator, который внезапно обзавёлся библиотекой с троянскими функциями.
Очевидно, что скрытая функциональность в программах для работы с финансовыми данными может привести к самым неприятным последствиям.
И даже если приложения Open Banking ограничены в праве на платежи от имени клиентов, злоумышленники всё равно смогут использовать их для получения выгоды. Данные о совершённых транзакциях — тоже ценный товар. Информация о том, когда и где совершаются покупки, позволяет составить представление о ежедневных перемещениях пользователей, их привычках, интересах и финансовом положении.
Ещё одна цель для атаки на мобильные приложения — отчёты об ошибках. При сбоях в приложении информация о состоянии устройства и обстоятельствах, вызвавших ошибку, отправляется на сервер разработчика. При этом передаваемые сведения также могут содержать конфиденциальную информацию:
Отчёт об ошибках. Источник: Trend Micro
Если злоумышленник скомпрометирует разработчика ПО для отчётов о сбоях, он получит доступ к этой информации.
Инфраструктура финтех-компаний
Использование облачной инфраструктуры для реализации финтех-проектов — разумный способ избавить компанию от расходов на приобретение «железных» серверов и обеспечение их бесперебойной работы. Однако в этом случае в компанию к банку, клиенту и финтех-организации добавляется ещё один участник — поставщик облачных сервисов.
Хакеры могут организовать атаку на цепочку поставок, внедрившись в сеть облачного провайдера. Такая атака повлияет на несколько финтех-компаний, имеющих ресурсы в этом облаке. Её опасность в том, что ни клиенты, ни банки, ни сами финтех-компании не узнают о компрометации, поскольку атака произойдёт вне сферы их досягаемости.
Пользователи
Атаки на пользователей находятся на первом месте по эффективности и востребованности. Они гораздо проще и дешевле в реализации, чем «технические» кибернападения.
За время работы с пользователями банки сумели добиться того, что массовые фишинговые рассылки писем типа «Ваши учётные данные для банка SuperCredit устарели. Нажмите здесь, чтобы сбросить пароль» потеряли свою эффективность. Пользователи стали более настороженно относиться к ним.
При работе с финтех-приложением этот опыт уже неприменим. А потому письмо «Мы финтех-компания MegaTech, поставщик услуг банка SuperCredit. Пожалуйста, нажмите здесь, чтобы обновить данные о вашем счёте» кажется вполне безопасным. Пользователи не осознают, что пароль к учётной записи финтех-провайдера также важен, как пароль к интернет-банку. И самое грустное, что банки не узнают о компрометации пользователя.
Более сложный способ атаки на пользователей — фальшивые финтех-приложения, которые выводятся в топ Play Market или App Store, а затем похищают учётные данные, финансовую информацию и деньги.
Как защищают Open Banking
Эффективное противодействие мошенником обеспечивает совокупность мер, и открытый банкинг не исключение. Перечислим способы защиты клиентов финтеха от угроз.
Многофакторная аутентификация
Это обязательное требование директивы PSD2 и аналогичных нормативных актов, связанных с Open Banking. По данным Microsoft использование многофакторной аутентификации блокирует 99,9% попыток взлома учётных записей.
Три кита MFA — знание, владение, биометрия. Источник: WSO2
В дополнение к MFA PSD2 добавляет концепцию динамической связки (dynamic linking)— использование для аутентификации операции кода, который зависит от суммы и получателя. Любое изменение этих параметров аннулирует этот код.
Безопасный API
В этом качестве в Open Banking предлагается использовать Financial-grade API (FAPI) — программный интерфейс на базе OAuth 2.0. FAPI, который разрабатывается фондом OpenID и британской организацией по внедрению открытого банкинга.
FAPI — более безопасная версия протокола OAuth 2.0, позволяющего третьим лицам получать доступ к поставщику услуг без предоставления учётных данных пользователя. Вместо пароля третье лицо получает токен для доступа к данным пользователя после получения его явного согласия. Пользователь контролирует права доступа третьих лиц с помощью токена, например, временный доступ и доступ только для чтения. Он может в любое время отозвать токен, а в случае его кражи изменение пароля не требуется, поскольку пароль никому не предоставлялся.
Взаимодействие с использованием FAPI. Источник: Trend Micro
Разработчики FAPI добавили к OAuth 2.0 дополнительные модули для обеспечения безопасности. Среди этих модулей стоит отметить:
Безопасность инфраструктуры и конечных точек
Защита инфраструктуры финтех-компаний является важным фактором, закрывающим лазейки для хакеров. Необходимо обеспечить защиту конечных точек, облачных систем и механизмов разработки, а также сквозной мониторинг всей инфраструктуры.
О безопасности конечных точек мы подробно рассказывали в публикации «Когда стены недостаточно. Как защитить конечные точки».
Заключение
Любая новая технология требует не только рассмотрения перспектив, но и внимательного анализа рисков, которые она создаёт. Особенно важно рассматривать опасности в случае, если новый подход внедряется в сфере, на которую традиционно направлено самое пристальное внимание киберпреступников.
Open Banking уже меняет ландшафт финансовых взаимоотношений. В ближайшие несколько лет эти изменения могут перевернуть всю нашу жизнь, совершив революцию в том, как мы управляем нашими деньгами. Чтобы эти изменения носили позитивный характер, чрезвычайно важно, чтобы финтех-компании, банки и другие участники процесса не только принимали к сведению выявленные угрозы, но и оперативно дорабатывали API и стандарты для устранения проблем безопасности.
Open Banking и API: ответственность, риски, преимущества
Сфера финансовых онлайн-услуг трансформируется с помощью Open Banking. Поэтому компании, которые хотят вывести свой бизнес на новый уровень, открывают возможности этой новой технологии. В этой статье разберем ответственность, риски и преимущества Open Banking и API.
Что такое Open Banking?
Открытый банкинг — это бизнес-модель, в которой можно обмениваться данными в финансовой экосистеме. Его правовая база ограничена Европейской директивой о цифровых платежных услугах PSD2, которая вступила в силу в Испании 24 ноября 2018 года. Этот закон регулирует доступ к платежным операциям третьих лиц с предварительного согласия клиента.
Простыми словами, открытый банкинг, позволяет финтех-компаниям или другим сторонним сервисам получать доступ к финансовой информации клиента и осуществлять финансовые операции от его имени. Чем больше участников в этой системе, тем выше конкуренция. В конечном результате, разнообразие и качество услуг увеличится, цены — снизятся, и конечные пользователи выиграют от этого изменения.
Что такое открытые API?
API (интерфейс) — это специальное средство, соединяющее две части программного обеспечения для обмена сообщениями и данными в стандартном режиме. С их помощью можно стандартизировать взаимодействие между различными участниками платежной экосистемы, и внедрить инновации в любую бизнес-модель.
Благодаря этим открытым API внешние разработчики могут создавать программы, инструменты или приложения, адаптированные к информации, предоставляемой банками, для предложения продуктов, более актуальных для клиентов.
Почему Open Banking так важен?
Наиболее важным активом 2020 года стали — данные. А банковские данные — это лучшая часть информации, позволяющая понимать, как потребители и бизнес тратит, приумножает или сохраняет активы. Open Banking позволяет сторонним сервисам агрегировать данные из нескольких финансовых учреждений для дальнейшего анализа расходов и доходов. Также такой анализ позволяет с высокой точностью планировать бюджет.
Open Banking в Европе
В 2018 Европа решила создать собственный документ, который бы состоял из набора правил, направленных на открытие доступа к банковским данным. Так страны участницы Европейского Союза начали принимать Директиву о платежных системах PSD2.
Директива направлена на улучшение равных условий для поставщиков платежных услуг, в том числе новых игроков или финтех-компаний, и внесение вклада в более интегрированный и эффективный европейский платежный рынок. Ожидается, что обновленные правила будут способствовать инновациям, конкуренции и эффективности на рынке онлайн-платежей в ЕС.
Кому выгоден Open Banking?
Преимущества Open Banking и API не ограничиваются исключительно потребителями. Они также распространяются и на поставщиков услуг. Ниже подробнее разберем выгоду использования открытого банкинга.
Для клиентов
Открытый банкинг дает свободу, которая выражена правом выбора международного поставщика услуг, представленных среди огромного количества. Это позволяет использовать только нужные банковские продукты, легко управлять личными финансами, а также принимать обоснованные решения по их управлению.
Для банков
Предоставляет возможность опережать конкурентов, позволяя им изучить соглашения об обмене данными с финансовыми технологиями и другими нефинансовыми учреждениями. Open Banking APIs помогает банкам повысить их привлекательность как юридического лица, тем самым позволяя им удовлетворять постоянно меняющиеся потребности как существующих, так и потенциальных клиентов.
Для Fintech
Открывают безграничные возможности для удовлетворения требований потребителей в отношении новых и более качественных услуг, таких как управление личными финансами, сравнение банковских счетов, а также доступ к кредитным услугам через единое приложение.
Риски Open Banking и API
Ожидается, что Open Banking сделает информацию о личных или коммерческих счетах своих клиентов более доступной извне через открытие коммуникационных портов. Безусловно, такое действие может вызвать риски использования открытого банкинга, например:
Неаутентичное программное обеспечение — прежде, чем решиться подключиться к конкретному программному обеспечению, необходимо убедиться, что оно прошло жесткую комплексную ИТ-экспертизу и карантинное тестирование.
Тестирование и проверка API — без строгой проверки качества, открытый банкинг может подвергнуть данные клиентов огромным рискам.
Неадекватная проверка SSL — для обеспечения безопасности API необходима проверка сертификатов SSL. Эти сертификаты аутентифицируют пользователей, которые обращаются к серверу, путем обмена сертификатом аутентификации клиента. Отсутствие надлежащей проверки сертификатов приведет к краже ключей API, паролей и имен пользователей.
Безопасность — с ростом киберугроз и преступности, разумно сначала проверить подлинность программного обеспечения, прежде чем разрешать ему подключаться к вашей банковской информации.
Чтобы исключить риски и мошеннические атаки, рекомендуем осуществлять подбор зарубежных финансовых компаний вместе с экспертами.
Кто ответственный за незаконное использование API?
Открытый банкинг дает сторонним компаниям возможность доступа к финансовым данным клиентов через API, создавая мост между клиентами и их поставщиками финансовых услуг. Модель API предусматривает предоставление финансовым учреждением идентификационного токена агрегатору.
В таком случае вероятность проведения несанкционированных транзакций достаточно низкая. Однако, в случае ее проведения, пока непонятно кто будет нести ответственность по таким операциям, т.к. окончательное регулирование ответственности за несанкционированные транзакции (API) пока еще не сформировано.
Открытый банкинг обладает огромным потенциалом для позитивного изменения того, как потребители могут управлять своими деньгами. Соблюдение нормативных требований и инвестиции в правильную технологию являются важным аспектом для решения проблемы мошенничества в среде Open Banking и PSD2.
Если вы не знаете, как зарегистрировать финтех-компанию за рубежом, какую юрисдикцию выбрать для финтех-бизнеса и сколько стоит регистрация международной финтех-компании, заполните форму, указанную выше и воспользуйтесь бесплатной консультацией от экспертов портала No1 в оффшорной индустрии.
Читайте другие интересные статьи портала InternationalWealth.info:
Последние несколько лет сектор FinTech Бельгии стремительно растет и развивается. Страна интересна финтех-компаниям благодаря разносторонней государственной поддержке, наличием на ее территории главных европейских органов в…
Будущее fintech в Великобритании после COVID-19 и выхода из ЕС интересует многих бизнесменов. На сегодняшний день Объединенное Королевство – один из мировых лидеров в сфере…
В мире огромная потребность в новых финансовых решениях. Классические банки не поспевают за изменениями, а иногда и ставят палки в колёса прогресса. Решить ту или…
Откройте корпоративный счет для международного бизнеса в американской платёжной системе. Вы получите возможность проводить операции в долларах, евро и других валютах, а также выпускать корпоративные…
Fintech — не самый простой сегмент рынка для развития стартапа. Однако, он быстро растет благодаря IT-технологиям и повсеместному распространению смартфонов, которые могут быть использованы в…
Самоизоляция во время вспышки COVID-19 вызвала всплеск интереса к многим онлайн сервисам. Конечно, в первую очередь следует отметить службы доставки товаров первой необходимости (сегмент FMCG),…
Финтех-услуги стали без преувеличения массовым трендом. Задают тон Китай и Индия, в которых показатель охвата услугами fintech среди населения составляет 87%. В Гонконге этот показатель…