Открытый банкинг

Часто задаваемые вопросы

Общие вопросы

API – способ передачи данных из одной компании в другую.

Комплекс стандартов Открытых банковских интерфейсов, управление, системы, процессы, безопасность и процедуры, используемые для поддержки участников.

На базе Открытых API можно создавать множество сервисов от классических платежных до инновационных финтех-решений. Например, приложение, которое на одном экране позволит управлять несколькими счетами в разных банках или сервис, в котором можно сравнить, выбрать и оформить подходящий вариант.

Для начала стоит изучить материалы на Портале Открытых API, например, Концепцию развития Открытых API, расположенную в разделе Документация.

Перечень участников среды Открытых API доступен участникам в Личном кабинете после прохождения технических проверок и получения Заключения.

Помимо Стандартов организации, желающие стать участниками среды Открытых API, должны руководствоваться Профилями безопасности FAPI.Sec и Требования к проектированию клиентского опыта. Также в разделе Документация представлены материалы, помогающие организациям протестировать свои сервисы в Песочнице сертификационного стенда.

Оператор среды - это Ассоциация развития финансовых технологий, (а) которая оказывает услуги по прохождению технических проверок будущим участникам среды Открытых API, (б) ведет публичный реестр проверенных участников среды, (в) обновляет требования к  участникам среды.

Соглашение о соблюдении Стандартов Открытых банковских интерфейсов - это юридический документ, многосторонний договор, к которому присоединяются будущие участники среды Открытых API, а также Ассоциация ФинТех в форме Оператора среды. Заключение Соглашения необходимо для участия в пилотных проектах Ассоциации ФинТех по тестированию Стандартов Открытых API. Соглашение определяет отношения, возникающие между участниками среды и Оператором.

На первом этапе Открытые API рассматриваются для применения именно в банковском секторе, но впоследствии другие сегменты финансового рынка, такие как страхование, инвестиции, МФО и др. также будут рассмотрены для расширения концепции и создания Открытых финансов в России.
Вопросы присоединения к среде

Для того чтобы стать участником среды Открытых API, необходимо разработать сервисы в соответствии со Стандартами, зарегистрироваться в Личном кабинете на Портале и пройти технические проверки на соответствие Стандартам. Более подробную информацию можно найти в разделе Банкам и финтехам.

В соответствии с Соглашением о соблюдении Стандартов Открытых банковских интерфейсов до 25.12.2021 года действует режим проведения пилотных проектов. Для участия в пилотных проектах среды Открытых API необходимо быть членом Ассоциации ФинТех или заключить Договор информационно-технологического сотрудничества с Ассоциацией ФинТех.

Сертификационный стенд АФТ - это специальное программное обеспечение, при помощи которого будущие участники среды Открытых API могут проверить работоспособность своих API-сервисов и приложений (в модуле Песочница 0 и Песочница), а затем подать заявление на прохождение технических проверок на соответствие Стандартам Открытых API. По результатам успешного прохождения технических проверок участник среды получает Заключение о прохождении проверок, на основе которого может производить интеграцию с другими участниками среды.

Перечень банков и представленных ими API будет чуть позже опубликован на этом Портале. Здесь же будут отображаться все изменения в списке участников среды Открытого банкинга.

Модуль "Песочница" состоит из двух частей: Песочница 0 и Песочница. Доступ к Песочнице 0 может получить любая организация, которая пройдет регистрацию в Личном кабинете на Портале. В ней можно протестировать API-сервисы и приложения без проверки настроек информационной безопасности. Доступ к Песочнице могут получить только те организации, которые заключили Соглашение о соблюдении Стандартов Открытых банковских интерфейсов. В данном разделе можно протестировать сервисы и приложения с учетом проверок ИБ.

Регулирование Открытых API будет вводиться поэтапно до 2023 года. До конца 2021 года регулятор определит перечень обязательных к открытию API.

Документация для разработки представлена в разделе "Документация" на Портале. В первую очередь, необходимо ознакомиться со Стандартами Открытых банковских интерфейсов, Профилями безопасности FAPI.Sec и Требованиями к проектированию клиентского опыта.
Вопросы информационной безопасности

Стандартами предусмотрен ряд технологий независимо от типа данных: OpenID Connect идентификации и аутентификации, стандарт ключей доступа JWT и криптографический протокол передачи данных TLS (ГОСТ).

Удостоверяющий центр Ассоциации ФинТех

Доступ к ресурсам определяется токенами, выданными при авторизации согласия. Долгосрочное согласие дается пользователем на стороне поставщика платежных услуг (ППУ) для осуществления обмена данными между сторонним поставщиком и ППУ на длительный срок, без непосредственного участия пользователя. После предоставления такого согласия взаимодействие происходит следующим образом: пользователь – СП, СП – ППУ. В любой момент пользователь может отозвать долгосрочное согласие как через Открытые банковские интерфейсы, так и через предоставляемые средства ППУ.

Удостоверяющий центр (УЦ) - это один из ключевых элементов среды Открытых API, поддерживающий информационную безопасность. В УЦ участники среды выпускают сертификаты ключей проверки электронной подписи, на основе которых происходит идентификация участников среды в ходе их взаимодействия.

Оператор Удостоверяющего центра (Оператор УЦ) – оператор предоставления услуг Удостоверяющего центра ООО «КРИПТО-ПРО», в лице Оператора среды. Оператор УЦ осуществляет выдачу сертификатов ключей проверки электронной подписи, идентифицированным участникам среды Открытых API.

Для доступа к Песочнице 0 используется метод аутентификации “client_secret_basic”, без необходимости использовать криптографические средства. Учетные данные для доступа к Песочнице 0 можно получить, зарегистрировав приложение в ЛК.
Для доступа к Песочнице используется метод аутентификации “ “private_key_jwt”, который требует использовать криптографические средства подписания запросов авторизации и полезной нагрузки.

Участник регистрируется в личном кабинете УЦ и производит выпуск сертификатов в соответствии с документами «Инструкция по настройке АРМ пользователя УЦ и выпуску сертификатов для Среды открытых API» и «Описание прикладных объектных идентификаторов (OID) используемых в рамках Открытых банковских интерфейсов (OpenAPI) 1.0».
Сертификаты для Песочница:
∙ [TLS Client] BackEnd APP СПИУ/СППУ песочница 1.2.643.6.57.42.21.3.1.2
∙ [Sign] СПИУ/СППУ Песочница (сертификат подписи для авторизации) 1.2.643.6.57.42.21.3.2.1
∙ [Enc] СПИУ/СППУ Песочница (сертификат для подписи полезной нагрузки) 1.2.643.6.57.42.21.3.3.1

Необходимо следовать требованиям «№ СТО БР ФАПИ.СЕК-1.6-2020 от 23.10.2020 Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID. Требования» в рамках главы 7. Профиль безопасности OPENID API для доступа к сервисам в режиме Чтения и записи

Среда Открытого банкинга строится с учетом требований стандарта СТО БР ФАПИ.СЕК-1.6-2020, разработанного на основе криптографических средств, соответствующих требованиям ГОСТ, и решениях OpenID Foundation (OIDF) – одной из лидирующих мировых организаций в области децентрализованных систем аутентификации. Это позволяет обеспечить максимальную защиту передаваемых данных и совершаемых операций.

Да, Cтандарты предусматривают возможность отзыва согласия на передачу данных. Например, сравнив предложения по ипотеке и выбрав одно, клиент может отозвать согласие на доступ к своим данным у банков, услугами которых решил не пользоваться.

Да, все участники среды Открытого банкинга будут проходить специальные технические проверки, данные будут передаваться в соответствии со Стандартом информационной безопасности, который предусматривает криптографическую защиту данных. В среде Открытого банкинга Вас никогда не попросят передавать Ваши данные от личного кабинета (логин или пароль) в других приложениях, кроме приложения самого вашего банка.