Jak banki powinny się przygotować na dyrektywę PSD2?

Share this post:

Jak banki powinny się przygotować na dyrektywę PSD2?

PSD2 to dyrektywa bankowa Komisji Europejskiej, która w 2018 roku zmieni zasady panujące na rynku bankowym.

W skrócie, PSD2 umożliwi klientom banku korzystanie z usług zewnętrznych dostawców w celu zarządzania swoimi finansami. Możliwe to będzie dzięki zobowiązaniu banków do zapewnienia dostawcom zewnętrznym dostępu do kont swoich klientów za pośrednictwem otwartych interfejsów programistycznych (API). Umożliwi to stronom trzecim tworzenie usług finansowych w oparciu o dane i (częściowo) infrastrukturę banków. Można więc sobie wyobrazić, że w niedalekiej przyszłości, będzie na przykład możliwe wykorzystanie ulubionej aplikacji społecznościowej do zapłacenia rachunków, zrealizowania przelewu pieniężnego i analizy wydatków, podczas gdy nasze środki będą cały czas bezpiecznie przechowywane na bieżącym koncie bankowym, do którego dostęp, za naszą zgodą, uzyska aplikacja społecznościowa.

Implementacja dyrektywy PSD2 rodzi wiele dyskusji. W licznych rozważaniach mieszają się wątki technologiczne z wątkami procesowymi, szczególnie jeśli chodzi o aspekty bezpieczeństwa. Często wyrażana jest obawa przed wyciekami danych finansowych, ale też osobowych i uwierzytelniających.

Sektor finansowy od lat edukuje swoich klientów w obszarze zagrożeń związanych z cyberprzestępczością, w tym m.in. wyłudzaniem danych identyfikacyjnych. I tak powinno pozostać. O ile bowiem bank będzie miał obowiązek udostępnienia API autoryzowanym trzecim stronom (TPP -Third Party Providers), o tyle klient nie będzie miał obowiązku skorzystania z usług firm trzecich. Należy jednak liczyć się z tym, że niektórzy klienci udostępnią swoje loginy, hasła i kody autoryzacyjne poza środowiskiem bankowym. Dlatego istotne jest, aby całość rozwiązania bazowała nie tylko na sprawdzonych bezpiecznych technologiach, ale wykorzystywała również analitykę behawioralną realizowaną w systemach anty-fraudowych. Pozwolą one zablokować (lub dodatkowo zweryfikować) podejrzaną transakcję (np. nie pasującą do wzorców zachowań klienta) nawet w sytuacji, gdy wszystkie dane uwierzytelniające będą poprawne.

Podobnie jak europejska, polska regulacja przechodzi przez proces szerokich konsultacji, co z jednej strony pozwala uwzględniać stanowiska różnych stron, z drugiej zaś powoduje, że wciąż nie opublikowano jej finalnej wersji. W styczniu mija zaś termin implementacji dyrektywy, dlatego istotne jest, aby wybierając rozwiązanie, banki stawiały na jego dojrzałość technologiczną, przy jednoczesnym zachowaniu elastyczności implementacji, po to aby móc w szybki sposób dostosować się do potencjalnych nowych wytycznych regulatora.

IBM jako jeden z członków Open API Initiative (https://www.openapis.org/) aktywnie uczestniczy w definiowaniu OpenAPI Specification. Doświadczenia w implementacji API bankowych budujemy również pracując z dużymi klientami, takimi jak Citi Bank. Słuchając i rozumiejąc potrzeby rynku, dynamicznie rozwijamy platformę IBM API Connect, w wyniku czego, nasi klienci dostają rozwiązanie bezpieczne i bogate w funkcjonalności przyśpieszające implementację Open Banking API, i w szczególności dyrektywy PSD2. Można je pogrupować w trzy obszary: wytwarzanie, promocja i konsumpcja.

Wytwarzanie

W procesie wytwórczym ważne jest zapewnienie łatwej implementacji wymagań funkcjonalnych w oparciu o elastyczne, skalowalne i stabilne środowisko. Istotne jest, aby zapewnić m.in.:

• Możliwość uruchamiania rozwiązania w centrum przetwarzania klienta, chmurze obliczeniowej lub w środowisku hybrydowym,
• Szybką budowę i zarządzanie API, zgodnie z metodyką DevOps,
• Budowanie polityk bezpieczeństwa w oparciu o sprawdzone standardy,
• Odporną na ataki bramkę bezpieczeństwa do wykonania polityk bezpieczeństwa w trakcie obsługi żądania przychodzącego od TPP, monitorowania przepływów itd.,
• Łatwą integrację i ekspozycję podstawowych usług,
• Integrację z systemami fraud, AML, itd.,
• Zdolność reagowania na potrzeby z zewnątrz i zmiany w systemach wewnętrznych,
• Analitykę, dzięki której administratorzy systemu mogą łatwo śledzić zdrowie systemu, a użytkownicy biznesowi analizować jego wykorzystanie

Promocja

Zdolność do promowania API wśród zewnętrznych, ale i wewnętrznych programistów, może stanowić potencjalny wyróżnik. Istotna jest łatwość obsługi oraz dodatkowe mechanizmy pozwalające na zbieranie opinii zwrotnych służących do ulepszania naszych API. Może to zapewnić Portal dla Programistów, który umożliwia:

• Przeglądanie opublikowanych produktów oraz API wchodzących w ich skład,
• Rejestrowanie i zarządzanie kontem,
• Subskrybowanie określonych planów taryfikacyjnych,
• Dyskutowanie na temat API na wbudowanym w portal forum dyskusyjny,
• Publikowanie dodatkowych informacji na wbudowanym w portal blogu.

Istotnym elementem promocji jest udostępnianie ekosystemowi partnerów eksperymentalnych środowisk tzw. sandbox- odizolowanych środowisk deweloperskich, pozwalających na bezpieczne testowanie aplikacji działających w oparciu o API banku.

Konsumpcja

Łatwość wykorzystania API bankowych stanowi ważny element zapewnienia sukcesu. Istotne jest dostarczenie programistom wsparcia uwzględniającego różnorodność aplikacji końcowych, technologii użytych do ich wytworzenia oraz popularnych języków programowania. Proces konsumpcji API przez aplikacje będzie przebiegał sprawnie, jeśli zapewnimy:

• Łatwość definiowania aplikacji i pobierania ich danych autoryzacyjnych,
• Wysyłanie zapytań testowych,
• Otrzymanie szkieletu gotowego kodu wywołania API dla popularnych standardów,
• Umożliwienie programistom skorzystania z akceleratorów- gotowych komponentów przyspieszających budowę rozwiązania (ciekawy przykład można znaleźć na https://live-open-banking.developer.eu.apiconnect.ibmcloud.com/),
• Zgłaszanie twórcom API problemów i wątpliwości dzięki wbudowanym w portal modułowi obsługi zgłoszeń serwisowych użytkowników,
• Łatwość procesu dostosowywania aplikacji do nowych wersji API,
• Przeglądanie statystyk obrazujących wykorzystanie przez aplikację API banku, w tym analizę otrzymywanych odpowiedzi (niezbędną np. przy analizie błędów).

Tylko poprawne zaadresowanie wszystkich trzech obszarów gwarantuje implementację open Banking API oraz PSD2 z sukcesem. Zawsze pozostaje jednak pytanie, jak dużą część funkcjonalności zagwarantuje nam dedykowana platforma, ile zaś chcemy, aby było zbudowane w ramach usługi wdrożeniowej. Badania Forrester oraz Gartner wskazują, że platforma IBM API Connect dostarcza dużą część tych funkcjonalności z pudełka, co zapewnia też ich odpowiednią jakość.