API – способ передачи данных из одной компании в другую.

Комплекс стандартов Открытых банковских интерфейсов, управление, системы, процессы, безопасность и процедуры, используемые для поддержки участников.

На базе Открытых API можно создавать множество сервисов от классических платежных до инновационных финтех-решений. Например, приложение, которое на одном экране позволит управлять несколькими счетами в разных банках или сервис, в котором можно сравнить, выбрать и оформить подходящий вариант.

Для начала стоит изучить материалы на Портале Открытых API, например, Концепцию развития Открытых API, расположенную в разделе Документация.

Перечень участников среды Открытых API доступен участникам в Личном кабинете после прохождения технических проверок и получения Заключения.

Помимо Стандартов организации, желающие стать участниками среды Открытых API, должны руководствоваться Профилями безопасности FAPI.Sec и Требования к проектированию клиентского опыта. Также в разделе Документация представлены материалы, помогающие организациям протестировать свои сервисы в Песочнице сертификационного стенда.

Оператор среды - это Ассоциация развития финансовых технологий, (а) которая оказывает услуги по прохождению технических проверок будущим участникам среды Открытых API, (б) ведет публичный реестр проверенных участников среды, (в) обновляет требования к  участникам среды.

Соглашение о соблюдении Стандартов Открытых банковских интерфейсов - это юридический документ, многосторонний договор, к которому присоединяются будущие участники среды Открытых API, а также Ассоциация ФинТех в форме Оператора среды. Заключение Соглашения необходимо для участия в пилотных проектах Ассоциации ФинТех по тестированию Стандартов Открытых API. Соглашение определяет отношения, возникающие между участниками среды и Оператором.

На первом этапе Открытые API рассматриваются для применения именно в банковском секторе, но впоследствии другие сегменты финансового рынка, такие как страхование, инвестиции, МФО и др. также будут рассмотрены для расширения концепции и создания Открытых финансов в России.

Для того чтобы стать участником среды Открытых API, необходимо разработать сервисы в соответствии со Стандартами, зарегистрироваться в Личном кабинете на Портале и пройти технические проверки на соответствие Стандартам. Более подробную информацию можно найти в разделе Банкам и финтехам.

В соответствии с Соглашением о соблюдении Стандартов Открытых банковских интерфейсов до 25.12.2021 года действует режим проведения пилотных проектов. Для участия в пилотных проектах среды Открытых API необходимо быть членом Ассоциации ФинТех или заключить Договор информационно-технологического сотрудничества с Ассоциацией ФинТех.

Сертификационный стенд АФТ - это специальное программное обеспечение, при помощи которого будущие участники среды Открытых API могут проверить работоспособность своих API-сервисов и приложений (в модуле Песочница 0 и Песочница), а затем подать заявление на прохождение технических проверок на соответствие Стандартам Открытых API. По результатам успешного прохождения технических проверок участник среды получает Заключение о прохождении проверок, на основе которого может производить интеграцию с другими участниками среды.

Перечень банков и представленных ими API будет чуть позже опубликован на этом Портале. Здесь же будут отображаться все изменения в списке участников среды Открытого банкинга.

Модуль "Песочница" состоит из двух частей: Песочница 0 и Песочница. Доступ к Песочнице 0 может получить любая организация, которая пройдет регистрацию в Личном кабинете на Портале. В ней можно протестировать API-сервисы и приложения без проверки настроек информационной безопасности. Доступ к Песочнице могут получить только те организации, которые заключили Соглашение о соблюдении Стандартов Открытых банковских интерфейсов. В данном разделе можно протестировать сервисы и приложения с учетом проверок ИБ.

Документация для разработки представлена в разделе "Документация" на Портале. В первую очередь, необходимо ознакомиться со Стандартами Открытых банковских интерфейсов, Профилями безопасности FAPI.Sec и Требованиями к проектированию клиентского опыта.

Да, все участники среды Открытого банкинга проходят специальные технические проверки. Данные передаются в соответствии со Стандартом информационной безопасности, который предусматривает их криптографическую защиту.

Для защиты данных независимо от их типа в среде Открытого банкинга предусмотрено использование ряда технологий и стандартов: OpenID Connect (OIDC) для идентификации и аутентификации, стандарт ключей доступа JWT (JSON Web Token), криптографический протокол передачи данных TLS с использованием отечественной криптографии по ГОСТ Р 34.12–2015.

Удостоверяющий центр Ассоциации ФинТех

Удостоверяющий центр (УЦ) – это один из ключевых элементов среды Открытых API, поддерживающий информационную безопасность. УЦ выдает и отзывает сертификаты ключей проверки электронной подписи и шифрования, с помощью которых обеспечивается защита информационного обмена и идентификация участников среды в ходе их взаимодействия.

Оператор Удостоверяющего центра (УЦ) отвечает за выдачу сертификатов ключей проверки электронной подписи и шифрования, идентифицированным участникам среды Открытых API. Оператором УЦ среды Открытых API выступает Ассоциация ФинТех, предоставляя услуги Удостоверяющего центра ООО «КРИПТО-ПРО».

Доступ к ресурсам с согласия пользователя определяется токенами, выданными при авторизации согласия. Согласие предоставляется пользователем на стороне Поставщика услуг (ПУ) для осуществления обмена данными между Сторонним поставщиком (СП) и ПУ на определённый срок, без непосредственного участия пользователя. После предоставления такого согласия взаимодействие происходит по схеме: пользователь – СП, СП – ПУ. В любой момент пользователь может отозвать согласие как через Открытые банковские интерфейсы, так и через предоставляемые средства ПУ.

Для доступа к «Песочнице0» используется метод аутентификации “client_secret_basic”, без необходимости использовать криптографические средства. Учетные данные для доступа к «Песочнице0» можно получить, зарегистрировав приложение в Личном кабинете.
Для доступа к «Песочнице» используется метод аутентификации “private_key_jwt”, который требует криптографических средств для подписания запросов авторизации и полезной нагрузки.

Необходимо следовать требованиям «№ СТО БР ФАПИ.СЕК-1.6-2020 от 23.10.2020 Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования», Глава 7 «Профиль безопасности OPENID API для доступа к сервисам в режиме «чтения и записи».

Среда Открытого банкинга строится с учетом требований стандарта «СТО БР ФАПИ.СЕК-1.6-2020», разработанного на основе криптографических средств, соответствующих требованиям ГОСТ и решениях ведущей международной организации в области децентрализованных систем аутентификации OpenID Foundation (OIDF). Такой подход позволяет обеспечить максимальную защиту передаваемых данных и совершаемых операций.

Да, стандарты предусматривают возможность отзыва согласия на передачу данных.