近两年来,Open Banking(Open Banking服务)已经悄然成为金融科技热点,如果说推动金融与科技的融合是金融科技发展的1.0阶段,那么,Open Banking背后的金融数据共享,足以将金融科技带入到2.0时代。可以预见的是,金融数据共享必将推动银行和金融科技企业更深层次的协作和竞争,并重塑整个金融生态,从而引发全球金融巨变。但与此同时,Open Banking也给金融与科技的融合发展、行业监管、行业竞争态势带来全新的挑战。
目前,Context已经与许多组织合作,帮助它们安全地与Open Banking生态系统集成,包括银行(ASPSP)和第三方提供商(TPP)。本文将介绍Open Banking面临的挑战、使用中的权限模型和可用的测试工具。
在研究人员开始之前,让研究人员先定义几个首字母缩写:
· ASPSP:帐户服务付款服务提供商(简称为银行)
· TPP:第三方提供商(例如,金融科技初创公司)
· PSD2:修订的支付服务指令(欧盟为促进银行一体化、更安全和开放而制定的新规则)
完整的词汇信息,请点击这里。
Open Banking简介
Open Banking是PSD2在英国的实现。除PSD2法规之外,Open Banking还为银行和第三方之间交互通信提供了详细的规范。这使公司(TPP)可以构建其应用程序并以标准化方式与任何银行(ASPSP)公开的在线服务集成。如果可以的话,为所有银行提供一个通用接口。
以下是开放式银行业务的流程:
例如,Open Banking允许终端用户查看其在不同银行持有的账户余额,并允许应用程序在一个连贯的仪表板中显示所有信息。这让用户可以在一个地方看到他们所有的财务状况,与此同时,信任第三方、过度获取银行信息、甚至整个网上银行门户都存在严重风险。使用Open BankingAPI,用户能够通过银行直接管理有关帐户的每个帐户的细粒度访问权限。通过Open Banking,银行的移动应用程序可以显示其他银行的账户详细信息。从这个模型可以看出,银行可以同时作为ASPSP和TPP,尽管是不同的实体。或者,他们可能依赖第三方提供访问其他银行账户数据的平台。
Open Banking在允许第三方提供商访问数据和与客户银行帐户交互方面是革命性的,与此同时,Open Banking设置了严格的准则,以确保客户对谁可以访问其数据有一个总体了解和控制。这样,第三方可以合法地对银行帐户进行操作,从而提供比银行本身更替的接口或更丰富的功能。这是客户与银行互动方式的根本变化,试图在传统金融机构中引入全面的变化和创新。
在内部实现所需的更改以支持公共API是一项复杂的工作,因为它为外部实体与银行交互引入了一个全新的渠道。PSD2最终的截止期限是2019年9月14日,然而,许多银行在规定的严格期限内全面实现API并与Open Banking生态系统集成时遇到了困难。对于影响核心服务的紧急复杂项目,必须按照最高标准执行开发和测试(功能和安全性),这就要求银行业和安全业都创新合作方式并交付大型项目的新方法。
提供API只是整个努力的第一步,下一步将是让组织开始使用API提供高级服务,并使公众理解同意访问请求意味着什么。这两个方面都揭示了其他有趣的安全问题,这些问题一旦通过协作解决,将为银行客户带来更安全的未来。
Open Banking:读/写API许可模型、技术工作流和工具
接下来,研究人员将介绍成功进行安全评估所需的读/写API许可模型、技术工作流和工具。
研究人员已经介绍并描述了读/写API,但是这里简要列出了主要组件:
· AISP:帐户和交易信息;
· PISP:付款启动;
· CBPII:基于卡的支付工具发行人访问。
权限模型
读/写API是Open Banking的主要组件,因为它可以处理对交易和帐户数据的所有访问请求。因此,在描述权限模型时,请务必记住最终用户正在通过第三方与银行进行交互,图1中说明了基本的工作流程。
TPP对读/写API的访问仅限于它们提供的服务所需的访问,资金管理应用程序就是一个简单的例子。有些应用专注于预算管理,只需要读取帐户信息(AISP API)。其他应用程序也可能为用户提供付款的能力,因此TPP将需要访问AISP和PISP API。