сп. CIO: „Шлюз за достъп до сметка“ ще позволи на банките да покрият изискванията на PSD2
Остава само половин година до изтичане на крайния срок, в който банките в България трябва да отворят достъпа до системите си чрез приложно-програмните си интерфейси (application programming interface - API), и с това да се даде официалният старт на отвореното банкиране. За да помогне на финансовите институции, опериращи с клиентски сметки, БОРИКА съвместно с BULPROS е разработила платформата "Шлюз за достъп до сметка" (XS2A Gateway). Повече за платформата и нейните ползи разказват Иван Велков, директор „Развитие на продукти и услуги“ в БОРИКА, и Радой Стоянов, мениджър „Бизнес развитие“ в BULPROS.
- Към кого е насочена платформата "Шлюз за достъп до сметка" (XS2A Gateway)?
Иван Велков
БОРИКА се включи в инициативите по Директивата на Европейския съюз за платежните PSD2 преди повече от година и половина. Като първа стъпка в Асоциацията на банките в България беше създадена работна група с цел да се дефинира национален стандарт за приложно-програмните интерфейси - БИСТРА, така че всички банки в страната да получат оптимален начин за интеграция, спазвайки изискванията на PSD2. Втората инициатива в поредицата е разработването на „Шлюз за достъп до сметка“. Този проект е изцяло регулаторен и цели да помогне на банките да отговорят на изискванията на PSD2. По-големите финансови институции в страната с главни офиси извън България използват корпоративните решения на цялата група. На малките банки обаче е необходимо ценово достъпно решение, което да им позволи да покрият изискванията на директивата. За тях платформата „Шлюз за достъп до сметка“ е подходящ избор.
За да реализираме инициативата, имахме нужда от надежден партньор. След провеждането на различни процедури избрахме BULPROS, което се оказа успешно партньорство. Синергията ни позволи да предложим по-добра платформа, базирана на модерни технологии и с висока степен на защита.
Радой Стоянов
BULPROS работи по проекти, свързани с PSD2, от две години и имаме опит и като консултанти, и като разработчици на решения. Проектът в България беше много добра възможност, защото освен съвместната работа с БОРИКА индиректно успяхме да си сътрудничим доста добре и с различни банкови екипи, за да подпомогнем цялостно проекта. Инициативата е много добра – да предложи цялостно решение на банките, и е особено полезна за тези, които не могат да разчитат на платформа от собствената си група. “Шлюз за достъп до сметка“ им предоставя добро технологично решение, като им спестява по-значима инвестиция, която биха направили, ако го разработваха сами.
- Какво представлява платформата в технологичен план?
Р. С.
Технологията, която избрахме съвместно с БОРИКА, е IBM API Connect. Тя улеснява значително управлението на интерфейсите и дава възможност наготово да се използва т.нар. портал за разработчици, който се брандира спрямо изискванията на всяка банка. В „Шлюз за достъп до сметка“ се използва и част от друг продукт на IBM – DataPower Gateway, който е много важен за осигуряване на цялостната защита. DataPower е платформата, върху която всъщност се изпълняват интерфейсите и се проверяват съобщенията и сертификатите на доставчиците на платежни услуги, които се свързват с банките. В архитектурата на платформата сме включили и система за управление на съгласията, разработена от BULPROS. Тя покрива всички изисквания за съгласията, които трябва да дадат потребителите на платежни услуги към банката си, така че тя да може да предостави информацията им или да осигури достъп до сметките на доставчика на платежни услуги. Платформата стъпва на най-модерни технологии – частен облак с контейнеризация и висока степен на резервираност за всяка услуга. Благодарение на факта, че работи върху множество сървъри, се осигурява както защита при отпадане на компонент, така и висока производителност на средата за множество банки.
Как се гарантира сигурността?
Р. С.
На първо място, комуникацията между банките и БОРИКА се осъществява през изградената от БОРИКА сигурна среда - т.нар. БАНКНЕТ. На следващото ниво, тъй като става въпрос за достъп до вътрешни системи на банката от публично пространство, DataPower осигурява анализ на съдържанието на заявките, за да се осигури филтриране на тези, които биха предизвикали риск за банките. След това, тъй като изискването на директивата е всеки доставчик на платежни услуги, който достъпва банките, да има собствен сертификат, той се проверява в реално време в регистър на доставчиците на платежни услуги. По този начин се гарантира, че само оторизирани доставчици могат да достъпят реално системите на банката. Не на последно място, тъй като потребителите на платежни услуги трябва да се идентифицират, се извършва т.нар. задълбочено установяване на идентичност – те се проверяват по минимум два фактора за идентификация. Това дава сигурност, че единствено потребителите заявяват и дават съгласие за достъп на тези доставчици на платежни услуги към техните сметки.
И. В.
API-тата, които се публикуват в публичното пространство, са по стандарта БИСТРА, създаден от работната група. Всички доставчици на платежни услуги, които искат да достъпят която и да е банка в България, участваща в шлюза, ще ползват едни и същи интерфейси. Отделните адаптери, които служат за интеграция между банките и шлюза (XS2A Gateway), се разработват съвместно от екипите на БОРИКА и BULPROS, като отговорността за разработките на отделните адаптери е на БОРИКА. Банките имат различни банкови системи и различни локални интерфейси за достъп и връзка. Шлюзът служи като преводач между формата, с който си говорят API-тата на банката, с формата на интерфейсите по БИСТРА. На входа преди интернет е платформата DataPower, която се грижи за сигурността. От външния свят се вижда само форматът на API-тата по БИСТРА.
XS2A Gateway дава възможност на банките да се предоставят няколко услуги. Едната е системата за съгласия, която е разработка на BULPROS. Следваща услуга, която предлагаме на банките, е да ползват новия продукт на БОРИКА - Облачен КЕП, като средство за задълбочено удостоверяване на идентичността. Банките могат да се възползват и от хелпдеск за разработчици, който се предлага с портала за разработчици. През него доставчиците на платежни услуги трябва да разработят системите си, така че да имат възможност да достъпят и да ползват публикуваните API. Тестовете на интерфейсите може да се извършва в специална тестова среда, която представлява отделна услуга. Тя вече е налична. БОРИКА е разработила и регистър на доставчици на платежни услуги, ползвайки информацията от регистъра на Европейския банков орган.
- Защо за банките е полезно да изберат платформата "Шлюз за достъп до сметка"?
И. В.
Освен сигурността една от причините банките да изберат платформата е резервираността, която БОРИКА предлага на това решение. В БОРИКА има два отделни оперативни центъра за данни, като всичко, което се прави в единия център като инсталация, съобразена с изискванията на IBM, се дублира в другия. Резервираността на цялата разработка е гарантирана на много високо ниво – с изискванията за резервация на една картова система.
Р. С.
С „Шлюз за достъп до сметка“ банките ще направят много малка част от инвестицията, която биха направили, ако изграждаха платформата сами. Още повече че тя няма да е статична, а ще се променя с еволюцията в стандартите на т.нар. Берлинска група, които се отразяват и на нашия местен стандарт БИСТРА. Използвайки тази платформа, за банките няма да е необходимо постоянно да се грижат за най-актуалната версия сами. БОРИКА ще се грижи за това. Платформата дава лесна поддръжка на банките при нововъведения, които идват с промените на европейско ниво.
- В какви срокове е подходящо банките да се включат в платформата?
И. В.
Пускането на тестовата среда за банките, включени в „Шлюз за достъп до сметка“, се случи на 14 март 2019 г. За тези, които все още не са го направили, е полезно да се включат максимално бързо. Директивата предвижда, ако доставчик на платежни услуги направи пет неуспешни опита да се свърже с банката, всеки с по 30 секунди изчакване, да може да използва друг канал за достъп. За да могат банките да се освободят от необходимостта да реализират още един канал, техните API-та трябва да бъдат наблюдавани в срок от три месеца. При изпълняване на определени изисквания регулаторът БНБ може да ги освободи от необходимостта да поддържат fall back механизъм. Условията за освобождаване изискват работата на реалната система да се наблюдава най-малко 3 месеца, което значи, че банките трябва да стартират реалната си работа не по късно от средата на юни. Крайният срок за публикуване на реалните интерфейси за достъп до средите на банките е 14 септември 2019.
Източник: сп. "CIO"