id=»kak-vnedrit-bankovskoe-open-api-v-svoi-biznes-protsessy» id=»kak-vnedrit-bankovskoe-open-api-v-svoi-biznes-protsessy» >Как внедрить банковское Open API в свои бизнес-процессы
Чтобы разобраться, как внедрить банковское Open API, рассмотрим живой пример — Делобанк. Это один из пионеров открытого банкинга в России, поэтому на его процессах будет проще рассмотреть, как внедряется Open API в системы среднего и крупного бизнеса.
Ирина Кузьмина, директор по развитию Делобанка Рассмотреть интеграцию проще всего на одном из наших базовых направлений — бухгалтерии, которая работает по схеме взаимодействия SSO-авторизации и API-протоколов. Это позволяет бизнесу бесшовно подключить бухгалтерию, сформировать отчётность и отправить её в проверяющие органы.
Как правильно внедрить Open API в бизнес-процессы
Путь внедрения API стандартен для всех. Вне зависимости от того, банковский это код или код коммерческой компании.
Первый этап — изучение технической документации и требований принимающей стороной. В 99% случаев в описании API сразу указывают, какую инфраструктуру нужно подготовить, и что сделать для интеграции
Например, Делобанк всегда рассказывает, какие конкретно технические требования важно учесть
Второй этап — встреча технических специалистов обеих сторон. Обсуждаются непонятные или спорные моменты. Например, в каких случаях API будет работать по базовому сценарию, в каких — по альтернативному.
Третий этап — предоставление IP-адреса для тестовой и продуктовой среды. Формируются криптографические сертификаты: от базовых TLS до гостового шифрования. Всё зависит от требований к проекту: они обсуждаются на втором этапе.
Четвертый этап — открытие шлюзов под IP и сертификаты для организации взаимодействия. Это первая техническая часть работы, которая нужна для безопасного взаимодействия двух разных компаний через интернет на уровне API-интерфейсов.
Ирина Кузьмина, директор по развитию Делобанка
Для безопасного взаимодействия двух разных компаний на уровне API-интерфейсов можно пойти двумя путями:1. Протянуть провода между двумя серверами (компании А и компании Б).2. Настроить защищённые каналы взаимодействия через интернет.
Обычно все компании идут по второму пути. В этом случае защищённые каналы называются шлюзами. И чтобы ни у кого не было доступа к шлюзам, компании обмениваются IP-адресами, с которых будут передаваться запросы. Для этого IP компании А заносятся в белый список компании Б, и приходящие запросы считаются идентифицированными.Для дополнительной безопасности компания А получает специальный сертификат, который подтверждает, что это именно она подключилась к шлюзу, а не кто-то другой попал в её внутреннюю сеть.
Пятый этап — принимающая сторона реализует необходимые методы запросов информации и данных по документации, которую разработали по итогам второго этапа.
Шестой этап — проведение тестов. По сути имитируется жизненный цикл проекта: заводят первых клиентов, делают намеренные ошибки в запросах, проверяют статусную модель. Это помогает избежать серьёзных ошибок, когда API-решение уже будет запущено для всех клиентов.
Седьмой этап — по итогам тестов интеграция выводится на продуктовую среду и к ней открывают доступ для клиентов. Либо интеграцию дорабатывают и проверяют еще раз.
Ещё одно важное условие правильной интеграции — настройка не только технической части, но и операционной. Только оно даёт максимально эффективную интеграцию, которая приносит пользу и бизнесу, и его клиентам.. Ирина Кузьмина, директор по развитию Делобанка Дело в том, что заказчики API часто не настраивают операционную часть: например, техническую поддержку, взаимодействие внутренних и банковских бизнес-подразделений и работу CRM-системы
Из-за этого компании сталкиваются с проблемами: клиенты долго ждут оператора техподдержки или долго получают обратный звонок
Ирина Кузьмина, директор по развитию Делобанка Дело в том, что заказчики API часто не настраивают операционную часть: например, техническую поддержку, взаимодействие внутренних и банковских бизнес-подразделений и работу CRM-системы. Из-за этого компании сталкиваются с проблемами: клиенты долго ждут оператора техподдержки или долго получают обратный звонок.
Но если соблюдать баланс и настроить взаимодействие всех сторон бизнеса, это ускорит интеграцию и улучшит клиентский опыт.
What Led To the Growth of Open Banking in API
Now, different people might have varied definitions of open banking API. However, to understand open banking API in its essence, we have to understand the reason behind its growth.
What Led To the Growth of Open Banking in API
There are two major reasons for the growth of open banking and API.
Regulation-Driven Growth of Open Banking API
It is common knowledge that the finance and banking sector is one of the most heavily regulated industries.
However, most financial institutions believe that opening up banking data will fuel innovation in the finance sector. This will lead to a better customer experience and wider accessibility of financial services and products.
In some countries, financial institutions (like PSD2) have enforced regulations and banks have to be compliant with those regulations to carry out business. This is the major reason for the growth of open banking and API in Mexico, Australia, and the UK.
Market Forces Driven Growth of Open Banking API
In a lot of markets, competition is fuelling banks to hop on the open banking bandwagon. In a lot of areas, banks fail to provide the kind of customer experience that fintech players can.
Hence, banks have no choice but to collaborate with other finance players to reach a wider set of audience. Moreover, it is important if they want to provide satisfaction to existing customers.
Let us look at some use cases to understand this concept better.
A bank may decide to create an app for their customers’ ease of use. However, they can only reach a limited customer range by doing that. They cannot allow customers of other banks to use/access their app due to security reasons. Moreover, they cannot partner with other banks to create a unified solution due to industrial competition.
On the other hand, a fintech player is not bound by such liabilities. In fact, they can devise solutions that are accepted by different banks and get access to a much larger customer base.
What Can Banks Do?
Here, banks need to tap into the power of open banking API to collaborate with fintech players. In such a scenario, the customer can get access to a unified solution and the bank can provide customer satisfaction. Furthermore, banks can collaborate with fintech companies to further provide for a customer’s focused interest.
Sounds like a win-win.
This kind of competition can be termed a ‘market force’. A lot of banks in India, the US, China and Singapore are investing in open banking APIs because of such forces.
However, at the end of the day, it does not matter if the growth is driven by market forces or government regulations. After all, the end result for both kinds of economies is higher innovation and price transparency.
Now, open banking APIs are necessary for the functionalities of BaaS – Banking as a Service.
Let’s dive deeper to understand the concept of BaaS and how it is related to open banking APIs.
Инстабанк
Новичок на рынке Инстабанк купил меня своими 10% на среднемесячный остаток счета. Больше не предлагает никто. Если в Юникредите мои средства заморожены под 9.5%, то в Инсте я могу ими распоряжаться, как хочу, получая свои законные 10%. Я все чаще вижу у своих знакомых эту карту, а значит на встречах в кафе нет надобности доставать наличность в общий счет. Все скидываются на карту одного платящего.
Лента платежей тут оформлена красиво. После консервативного Сбербанка есть, за что зацепиться глазу.
О-ооочень симпатичная лента расходов и 10% в подарок – такого нет ни у кого
Из минусов: вместо СМС тут используются Push-уведомления. Все бы ничего, но однажды отель списал с меня за услугу, которой я не пользовался. Об этом я узнал несколько часов спустя, когда вышел в интернет. Деньги вернули, а вот тревога осталась. Я готов платить 60 рублей в месяц за СМС. Надеюсь, когда-нибудь Инстабанк их введет.
В остальном, это приятная молодежная карта для больших городов, встреч и тусовок.
Для путешествий же пока что не подходит.
Переходим к последнему банку и вы уже поняли, что его карта стала моей основной в любых поездках.
Conclusion: Future of Open Banking API
There is a lot of debate on the competition between banks and fintech firms.
After all, the threat to the traditional banking business model is proven to be right.
However, the advantages of banks and third party players collaborating are much higher. Legacy banks that embrace open banking and API have a chance to create new sources of income. At the same time, new fintech players will have to chance to access the bank’s customer pool and expertise.
As a result, banks will have the opportunity to ace in customer interface and customer relationship management.
It will be interesting to see the new technological evolutions in open banking APIs and how banks embrace this change.
Открытый банкинг. Что уже есть?
Идея открытого банкинга, строящегося на основе открытого API, не нова. Так, например, с 2010 года в Германии при участии крупнейших банков страны развивается проект Open Bank Project (OBP)1.
Его цель — создание открытого API для банков, которым разработчики и финтех-компании могут пользоваться для создания клиент-ориентированных приложений и сервисов, требующих доступа к таким данным клиентов банка, как история выполненных транзакций и списки счетов. Помимо доступа к клиентским данным OBP API предоставляет возможность получить так называемые «открытые данные» (open data): списки подразделений и банкоматов, описание банковских продуктов.
Другим примером открытия банком API для разработчиков является API банка Fidor Bank AG2. Среди российских аналогов можно отметить проект «Альфа-банка» — «Альфа-старт»3, предоставляющий ИТ-стартапам API для подключения к услугам банка, таким как приём платежей, денежные переводы между пользователями, онлайн-кредитование.
Наряду с банками свои API открывают и платежные системы. Так, значимым событием начала этого года стало появление Visa Developer Center4 — сервиса, через который Visa предоставляет доступ к своим технологиям сторонним разработчикам.
Следует отметить, что развитие технологий открытого API в настоящее время переходит на уровень государственного регулирования. В 2015 году правительство Великобритании инициировало создание Open Banking Working Group (OBWG) — экспертной группы, в которую вошли представители банков, финтех-компаний и специалисты в области открытых данных. Целью работы данной группы является создание стандарта открытого банковского API (Open Banking Standard) и исследование влияния открытого банкинга на клиентов банка, регуляторов и финансовую индустрию. Правительство Великобритании ожидает, что внедрение данного стандарта позволит Соединённому королевству удержать лидирующее положение в финтех-индустрии.
Не отстают и другие страны Евросоюза. C 12 января 2016 года вступила в силу вторая редакция европейской платежной директивы PSD25, одним из требований которой является открытие банками API третьим сторонам. Ожидается, что исполнение требований регуляторов должно усилить в Европе конкуренцию на рынке мобильных и онлайн-платежей за счёт более простого выхода на рынок технологических нефинансовых компаний.
В России вопрос регулирования отрытого банкинга со стороны государства пока ещё не анонсировался. Однако при этом очевидно, что банкам, которые хотят остаться в мировом тренде, уже сейчас необходимо предпринимать шаги в сторону внедрения открытого API, не дожидаясь дополнительного стимула со стороны ЦБ.
Stripe
Метод получения информации о пользователе используют, например, сайты с возможностью авторизации через аккаунт ВКонтакте. Так сайт может привязать окошко своего сообщества в этой соцсети, показать пользователю, кто из друзей в нем уже состоит, предложить поделиться страницей в профиле или поставить «Нравится» прямо на странице сайта. автоматизировать проверку семантической разметки и т. Список из одного элемента — словаря с ключами from и till.
Google и Apple не используют собственное оборудование для определения погоды в мире. Смартфоны на Android и на iOS с помощью API получают данные с метеорологических сайтов. С помощью API приложения получают доступ к геолокации, камере и контактам вашего смартфона.
Россия
Регулирование
Регулятором открытого банкинга в России выступает Центральный Банк. По его инициативе в Ассоциации развития финансовых технологий, учрежденной совместно с крупнейшими российскими финансовыми организациями в декабре 2016 года, было открыто отдельное направление деятельности — развитие открытых программных интерфейсов (open API).
Открытые API — это технология обмена данными между информационными системами компаний через стандартные протоколы взаимодействия. Технология активно используется для создания партнерских сервисов — например, подключения ресторана к службе доставки и создания агрегаторов по покупке билетов.
В настоящее время фокусированная работа в сфере открытого банкинга ведется в рамках утвержденного Плана мероприятий («дорожной карты») по развитию конкуренции в отраслях экономики Российской Федерации и переходу отдельных сфер естественных монополий из состояния естественной монополии в состояние конкурентного рынка на 2018—2020 годы.
В октябре 2020 года Банк России разработал стандарты открытых банковских интерфейсов, применение которых будет способствовать развитию продуктов и сервисов на финансовом рынке.
Такие стандарты создают одинаковые правила взаимодействия участников на рынке и позволяют банкам и финтех-компаниям настроить обмен данными о клиенте с его согласия и в конечном счете сформировать для него персональные предложения.
Например, благодаря открытым API можно создать мобильное приложение для клиентов по управлению финансами в нескольких компаниях одновременно или организовать онлайн-оплату товаров и услуг через партнерские приложения.
Применение стандартов, как заявляет Банк, будет добровольным. Они содержат принципы и рекомендации внедрения открытых API для конкретных сервисов — получения организациями информации о счете клиента банка и инициирования денежных переводов. Стандарты также определяют общие положения работы открытых банковских интерфейсов и предлагают рекомендации по обеспечению информационной безопасности при использовании этой технологии.
Рынок Open banking в России
8 июля 2021 года в Ассоциации развития финансовых технологий, созданной под эгидой ЦБ, сообщили о создании сервиса для тестирования банковских открытых API и программного обеспечения финтех-компаний.
Новое решение позиционирует как сертификационный стенд, позволяющий проверить, соответствует ли ИТ-продукт стандартам ЦБ РФ. Система поддерживает стандарт Банка России по безопасности банковских операций (СТО БР ФАПИ. СЕК-1.6-2020).
Финтех-разработчики и финансовые организации смогут пройти процедуру проверки программного обеспечения на стенде. Успешно пройдя тестирование на стенде, финтех-компания или банк должны обратиться в Удостоверяющий центр для получения криптографических сертификатов для промышленной эксплуатации ПО.
В настоящее время на российском рынке у банков нет обязательства открывать API для сторонних разработчиков. Сегодня свои API предоставляют такие банки, как Сбербанк, Альфа-Банк, Райффайзенбанк и другие.
Также на рынке присутствуют API-платформы (Qplatform, APIBank), которые по аналогии с зарубежными API-провайдерами (Plaid, Tink, TrueLayer, SaltEdge и т. п.) занимаются интеграцией банков и финтех-решений.
Наблюдается рост инвестиций в данном направлении: так, в 2020 году международная финансовая группа SBI Holdings проинвестировала в российскую финтех-платформу в обмен на долю 20 %.
Технологическая основа Open Banking
В целом Open Banking базируется на «обычных» банковских технологиях. Но применяется и ряд специализированных.
Основа открытого банкинга — Open API. Это универсальный программный интерфейс, позволяющий бесшовное взаимодействие разных сервисов, в том числе имеющих разную технологическую основу.
Для идентификации клиента применяется открытый протокол OpenID Connect
Важно, что он не является централизованным, то есть данные не принадлежат одному сервису, в то же время приложения без проблем могут аутентифицировать пользователя
Для авторизации клиента служит протокол OAuth 2.0. Ему передается часть прав, например, на сбор и анализ информации о пользователе. Это необходимо для полноценной работы Open Banking. Так как протокол работает децентрализовано, получается надежное и защищенное соединение.
Стандарт передачи данных JWT позволяет безопасно авторизовываться в сервисах.
Как работает Open banking
По сравнению с классической схемой появляются два новых действующих лица: СПИУ и СППУ (AISP, Account information service provider, и PISP, Payment initiation service provider).
СПИУ (Сторонний поставщик информационных услуг о счете) — компании, которые могут собирать информацию о финансовой активности пользователей в разных платежных системах, но при этом они не могут перемещать деньги клиентов. Такая процедура проводится только после согласия пользователя. Они помогают упростить доступ к финансовым продуктам, а также оптимизировать различные процессы, например, подачу заявки на получение кредита.
СППУ (Сторонний поставщик платежных услуг) — компании, которые могут подключаться к банковскому счету для инициирования платежей на счет пользователя или из него. Эти компании имеют возможность не только просматривать данные учетной записи, но и совершать платежи от имени клиента, используя собственные инструменты банка. Эта процедура также проводится по согласию пользователя.
В отличие от банков, которые управляют деньгами своих клиентов, поставщики услуг только инициируют транзакции. При этом они никогда не получают деньги от клиента.
В целом все технологии, используемые в открытом банкинге, упрощают взаимодействие между сервисами и увеличивают безопасность обмена данными.
Банки
На первый взгляд может показаться, что у банков нет никаких преимуществ или новых возможностей от реализации Open Banking, а наоборот – только новые риски. С приходом новых игроков, таких как финтех-компании, у клиента появится больше возможностей для выбора продуктов, что, несомненно, повлияет на спрос банковских продуктов. Банкам придется улучшать свои технологии и прилагать усилия, чтобы их услуги были конкурентноспособными и с точки зрения цены, и с точки зрения клиентского опыта. Некоторые опасения банков за свое будущее весьма наглядно проявляются и в том, что они неохотно говорят об Open API и их доступных функциях. Тем не менее, от внедрения Open API могут выиграть и сами банки:
- Во-первых, открывая свои API, банки могут легко подключать API других поставщиков услуг на рынке, чтобы расширить свои сервисные предложения, внедряя собственные Plug-and-play финтех-решения.
- Банки смогут организовывать маркетплейсы предложений, тем самым предлагая своим клиентам end-to-end решения. В качестве примера можно указать Starling Bank, который предоставляет своим клиентам доступ к своей «торговой площадке», где они могут выбирать из целого ряда продуктов и услуг, которые могут быть интегрированы с их учетной записью. На данный момент в предложение входят ипотечный брокер Habito, пенсионные планы PensionBee, страхование путешествий Kasko (AXA), сберегательные счета Wealthify и много других услуг.
- Банки могут организовывать партнерские альянсы, предлагая клиентам просмотреть информацию об их счетах в других банках-партнерах через один интерфейс. Например, Santander, HSBS, Monzo и еще несколько других банков предлагают просмотреть свой счет, а также онлайн-сбережения, ипотечные кредиты, кредиты и карты, хранящиеся в любом другом банке из этого списка. Приложение способно сгруппировать общие расходы клиентов по 30 категориям, включая покупки продуктов и коммунальные услуги.
- Подключаясь к другим Open API, банки смогут получать и анализировать дополнительную информацию о финансовом поведении своих клиентов и предлагать им персонализированные и более выгодные услуги.
- Цифровизация банковских сервисов, а также дополнительные разработки, которые были необходимы для внедрения Open API, только позитивно повлияют на дальнейшее развитие банков. Получив некий толчок от этой цифровизации, банки смогут улучшить или автоматизировать другие свои услуги, адаптировать бизнес-процессы. В конечном счете это приведет к снижению расходов, например, на персонал, и к повышению доходов за счет расширения каналов продаж.
Однако банкам следует учитывать и возможные риски:
- Первый риск относится к ведению бизнеса. Конечно, появление на рынке новых участников не сможет не повлиять на работу банков. Возможно, технологически продвинутые и более расторопные финтехи заберут себе часть рынка – они более цифровизованы, скорость адаптации выше, UI/UX лучше, и цены у них конкурентноспособные. Соответственно, банки могут лишиться части своих клиентов, если не сумеют улучшить свои услуги.
- Хотя проверка личности и предотвращение мошенничества являются важными составляющими как самой инициативы Open Banking, так и непосредственно банковских Open API, тем не менее, существуют риски, связанные с потерей или кражей личных данных, нарушениями защиты данных, отмыванием денег и финансированием терроризма. Банки будут стремиться стать полностью цифровыми, что создаст среду для мошеннических действий.
Доступ к банковским данным клиентов, таким как транзакции и балансы, всегда был в списке пожеланий хакеров. А Open API открывает доступ к данным клиентов, хранящимся в инфраструктуре, и представляет значительный риск для кибербезопасности. Как бы банки не стремились максимально обезопасить свои системы и API, взломщики данных всегда смогут найти слабое место. А значит, некоторые данные клиентов смогут быть доступны другим сторонам. И тут речь не только о соответствии GDPR и PSD2 и о том, что клиенты будут подавать иски и выигрывать компенсации. Кроме финансовых потерь, банки могут понести и репутационные. Это уже обязательно повлияет и на количество клиентов и партнеров, желающих работать с этим банком.
Риск мошеннических операций, т. е. фрода. Есть опасность в том, что те небанковские структуры, которые будет практиковать открытие API банка, смогут провести неавторизованные платежи и списать деньги со счетов его клиентов. В данном случае банк может понести финансовые убытки за каждую такую операцию.
Open banking regulatory landscape
Banking is a highly regulated industry, and open banking is no exception. Major open banking regulations and standards have been passed in different countries. The most notable ones are:
- UK’s Open Banking Standard
Sponsored:
Testifi offers CAST, a low-code test automation tool that aims to support businesses in providing high-quality software via a test-first strategy. Major well-known companies such as BMW, Amazon, and Vodafone use Testifi services.
If you are interested in learning more about API testing, read API Testing: 3 Benefits & 8 Different Types & API Security Testing: Importance, Automation & Common Issues.
Что делать
Чтобы оформить карту за рубежом, можно отправиться в «пластиковый тур», также в некоторых иностранных банках это предлагают сделать удаленно. При этом специалисты банковской отрасли предупреждают, что в этой нише вскоре могут появиться «серые» игроки, и рекомендуют сотрудничать только с проверенными туроператорскими компаниями, а не с «непонятными и неизвестными «организаторами» из соцсетей, не заключающими с клиентами часто даже договора».
- Российский туроператор «Веди Групп» предлагает россиянам двухдневный тур в Ташкент «За VISA в Узбекистан». Во время путешествия туристы могут открыть счет в банке и оформить долларовую карту Visa или Mastercard.
- Аналогичную услугу предоставляет туроператор «Русский Экспресс». Клиентам помогают получить временную регистрацию по месту пребывания и оформить сим-карту, на которую будет подключен мобильный банк. Кроме того, в этой компании готовятся туры в Армению, Казахстан и Киргизию.
- Оформить банковские карты в Армении и Узбекистане предлагает также «Интурист» — при онлайн-бронировании тура в корзину можно добавить услугу оформления банковских карт международных платежных систем.
- Спрос на оформление карт есть и со стороны самостоятельных путешественников. Например, в пресс-службе Приорбанка (Беларусь) сообщили, что россияне стали ездить за картами в Минск. Их оформляют при личной явке в отделение, на российский или заграничный паспорт. Срок изготовления — 1–5 дней.