#IBMPolskaJutra

Jak banki powinny się przygotować na dyrektywę PSD2?

Share this post:

Jak banki powinny się przygotować na dyrektywę PSD2?

PSD2 to dyrektywa bankowa Komisji Europejskiej, która w 2018 roku zmieni zasady panujące na rynku bankowym.

W skrócie, PSD2 umożliwi klientom banku korzystanie z usług zewnętrznych dostawców w celu zarządzania swoimi finansami. Możliwe to będzie dzięki zobowiązaniu banków do zapewnienia dostawcom zewnętrznym dostępu do kont swoich klientów za pośrednictwem otwartych interfejsów programistycznych (API). Umożliwi to stronom trzecim tworzenie usług finansowych w oparciu o dane i (częściowo) infrastrukturę banków. Można więc sobie wyobrazić, że w niedalekiej przyszłości, będzie na przykład możliwe wykorzystanie ulubionej aplikacji społecznościowej do zapłacenia rachunków, zrealizowania przelewu pieniężnego i analizy wydatków, podczas gdy nasze środki będą cały czas bezpiecznie przechowywane na bieżącym koncie bankowym, do którego dostęp, za naszą zgodą, uzyska aplikacja społecznościowa.

Implementacja dyrektywy PSD2 rodzi wiele dyskusji. W licznych rozważaniach mieszają się wątki technologiczne z wątkami procesowymi, szczególnie jeśli chodzi o aspekty bezpieczeństwa. Często wyrażana jest obawa przed wyciekami danych finansowych, ale też osobowych i uwierzytelniających.

Sektor finansowy od lat edukuje swoich klientów w obszarze zagrożeń związanych z cyberprzestępczością, w tym m.in. wyłudzaniem danych identyfikacyjnych. I tak powinno pozostać. O ile bowiem bank będzie miał obowiązek udostępnienia API autoryzowanym trzecim stronom (TPP -Third Party Providers), o tyle klient nie będzie miał obowiązku skorzystania z usług firm trzecich. Należy jednak liczyć się z tym, że niektórzy klienci udostępnią swoje loginy, hasła i kody autoryzacyjne poza środowiskiem bankowym. Dlatego istotne jest, aby całość rozwiązania bazowała nie tylko na sprawdzonych bezpiecznych technologiach, ale wykorzystywała również analitykę behawioralną realizowaną w systemach anty-fraudowych. Pozwolą one zablokować (lub dodatkowo zweryfikować) podejrzaną transakcję (np. nie pasującą do wzorców zachowań klienta) nawet w sytuacji, gdy wszystkie dane uwierzytelniające będą poprawne.

Podobnie jak europejska, polska regulacja przechodzi przez proces szerokich konsultacji, co z jednej strony pozwala uwzględniać stanowiska różnych stron, z drugiej zaś powoduje, że wciąż nie opublikowano jej finalnej wersji. W styczniu mija zaś termin implementacji dyrektywy, dlatego istotne jest, aby wybierając rozwiązanie, banki stawiały na jego dojrzałość technologiczną, przy jednoczesnym zachowaniu elastyczności implementacji, po to aby móc w szybki sposób dostosować się do potencjalnych nowych wytycznych regulatora.

IBM jako jeden z członków Open API Initiative (https://www.openapis.org/) aktywnie uczestniczy w definiowaniu OpenAPI Specification. Doświadczenia w implementacji API bankowych budujemy również pracując z dużymi klientami, takimi jak Citi Bank. Słuchając i rozumiejąc potrzeby rynku, dynamicznie rozwijamy platformę IBM API Connect, w wyniku czego, nasi klienci dostają rozwiązanie bezpieczne i bogate w funkcjonalności przyśpieszające implementację Open Banking API, i w szczególności dyrektywy PSD2. Można je pogrupować w trzy obszary: wytwarzanie, promocja i konsumpcja.
gdadej-api

Wytwarzanie

W procesie wytwórczym ważne jest zapewnienie łatwej implementacji wymagań funkcjonalnych w oparciu o elastyczne, skalowalne i stabilne środowisko. Istotne jest, aby zapewnić m.in.:

  • Możliwość uruchamiania rozwiązania w centrum przetwarzania klienta, chmurze obliczeniowej lub w środowisku hybrydowym,
  • Szybką budowę i zarządzanie API, zgodnie z metodyką DevOps,
  • Budowanie polityk bezpieczeństwa w oparciu o sprawdzone standardy,
  • Odporną na ataki bramkę bezpieczeństwa do wykonania polityk bezpieczeństwa w trakcie obsługi żądania przychodzącego od TPP, monitorowania przepływów itd.,
  • Łatwą integrację i ekspozycję podstawowych usług,
  • Integrację z systemami fraud, AML, itd.,
  • Zdolność reagowania na potrzeby z zewnątrz i zmiany w systemach wewnętrznych,
  • Analitykę, dzięki której administratorzy systemu mogą łatwo śledzić zdrowie systemu, a użytkownicy biznesowi analizować jego wykorzystanie

Promocja

Zdolność do promowania API wśród zewnętrznych, ale i wewnętrznych programistów, może stanowić potencjalny wyróżnik. Istotna jest łatwość obsługi oraz dodatkowe mechanizmy pozwalające na zbieranie opinii zwrotnych służących do ulepszania naszych API. Może to zapewnić Portal dla Programistów, który umożliwia:

  • Przeglądanie opublikowanych produktów oraz API wchodzących w ich skład,
  • Rejestrowanie i zarządzanie kontem,
  • Subskrybowanie określonych planów taryfikacyjnych,
  • Dyskutowanie na temat API na wbudowanym w portal forum dyskusyjny,
  • Publikowanie dodatkowych informacji na wbudowanym w portal blogu.

Istotnym elementem promocji jest udostępnianie ekosystemowi partnerów eksperymentalnych środowisk tzw. sandbox- odizolowanych środowisk deweloperskich, pozwalających na bezpieczne testowanie aplikacji działających w oparciu o API banku.

Konsumpcja

Łatwość wykorzystania API bankowych stanowi ważny element zapewnienia sukcesu. Istotne jest dostarczenie programistom wsparcia uwzględniającego różnorodność aplikacji końcowych, technologii użytych do ich wytworzenia oraz popularnych języków programowania. Proces konsumpcji API przez aplikacje będzie przebiegał sprawnie, jeśli zapewnimy:

  • Łatwość definiowania aplikacji i pobierania ich danych autoryzacyjnych,
  • Wysyłanie zapytań testowych,
  • Otrzymanie szkieletu gotowego kodu wywołania API dla popularnych standardów,
  • Umożliwienie programistom skorzystania z akceleratorów- gotowych komponentów przyspieszających budowę rozwiązania (ciekawy przykład można znaleźć na https://live-open-banking.developer.eu.apiconnect.ibmcloud.com/),
  • Zgłaszanie twórcom API problemów i wątpliwości dzięki wbudowanym w portal modułowi obsługi zgłoszeń serwisowych użytkowników,
  • Łatwość procesu dostosowywania aplikacji do nowych wersji API,
  • Przeglądanie statystyk obrazujących wykorzystanie przez aplikację API banku, w tym analizę otrzymywanych odpowiedzi (niezbędną np. przy analizie błędów).

Tylko poprawne zaadresowanie wszystkich trzech obszarów gwarantuje implementację open Banking API oraz PSD2 z sukcesem. Zawsze pozostaje jednak pytanie, jak dużą część funkcjonalności zagwarantuje nam dedykowana platforma, ile zaś chcemy, aby było zbudowane w ramach usługi wdrożeniowej. Badania Forrester oraz Gartner wskazują, że platforma IBM API Connect dostarcza dużą część tych funkcjonalności z pudełka, co zapewnia też ich odpowiednią jakość.

Executive Architect, IBM Hybrid Cloud

More #IBMPolskaJutra stories
By ibmblogs on 02/09/2021

Kraków w międzynarodowym programie edukacyjnym P-TECH

Krakowskie I Liceum Ogólnokształcące im. Bartłomieja Nowodworskiego dołącza do międzynarodowego programu rozwoju edukacyjno-zawodowego P-TECH, opartego na współpracy i uruchomionego w Polsce w 2019 roku z inicjatywy IBM. Porozumienie z IBM oraz Instytutem Badań Edukacyjnych uroczyście podpisali nowi Partnerzy programu: przedstawiciele Urzędu Miasta Krakowa, Akademii Górniczo-Hutniczej, Centrum Technologii Kosmicznych, Fundacji Quantum AI. W ramach programu, krakowscy […]

Continue reading

By Egor Golubkov on 30/07/2021

Upmedic jako pierwszy startup w Polsce dołączył do programu IBM „Inkubator AI”

Misją upmedic jest ułatwienie pracy lekarzy i umożliwienie im poświęcania czasu i wiedzy na pacjentów zamiast na procesy biurokratyczne. System skierowany jest na ten moment do radiologów. Po licznych iteracjach z przedstawicielami tej specjalizacji, zespół upmedic zbudował inteligentny kreator raportów, mający na celu poprawienie wydajności i jakości raportów tworzonych przez radiologów.

Continue reading

By ibmblogs on 28/07/2021

Asseco wprowadza nowy Portal Klienta dla firm użyteczności publicznej wspierany przez technologię chmury IBM i Red Hat

Nowe rozwiązanie AUMS  ma pomóc firmom użyteczności publicznej w bezpiecznym zarządzaniu rozliczeniami  klientów przy jednoczesnym zmniejszeniu kosztów IT Asseco Poland przy wsparciu partnera technologicznego IBM stworzyło nową platformę pod nazwą AUMS Portal Klienta. To rozwiązanie nowej generacji w zakresie obsługi klienta, przeznaczone m.in. dla przedsiębiorstw użyteczności publicznej, które chcą umożliwić lub usprawnić cyfrową komunikację, dystrybucję […]

Continue reading