29 октября 2020 года в рамках Международной конференции «Платежная индустрия: практика и трансформация после пандемии» прошел круглый стол «Open API», участники которого обсудили выпущенные Банком России стандарты открытого банкинга, а также проблемы и перспективы развития Open API в России.

КЛЮЧЕВЫЕ ТЕМЫ ВСТРЕЧИ:

Перспективные кейсы и области применения Open API;
Регулирование юридических аспектов при работе с Open API;
Зачем банкам и финтеху нужны услуги специализированных API-платформ;
Нюансы взаимодействия с госорганами и другими поставщиками через Open API;
Открытые интерфейсы (API). Безопасность.

УЧАСТНИКИ КРУГЛОГО СТОЛА:

Никита Ломов, руководитель аналитического отдела АФТ;
Екатерина Желунова, начальник отдела информационной безопасности и киберустойчивости финансовых технологий Банка России;
Александр Нам, управляющий директор по технологическим сервисам Национального расчетного депозитария;
Алма Обаева, председатель правления НП «Национальный платежный совет»;
Екатерина Фроловичева, заместитель руководителя департамента IT-архитектуры, начальник управления апробации новых технологий ВТБ.
Модератор: Данил Поминов, обозреватель «Банковского обозрения», fintech-эксперт

ТЕЗИСЫ СПИКЕРОВ

Никита Ломов:

Стандарты носят рекомендательный характер и включают в себя два блока:
1) описание процедур получения информации о счете клиента потребителями API и процедур инициирования перевода денежных средств;
2) стандарты ИБ открытого банкинга на основе протокола Open ID Connect.

На площадке АФТ готовится пилотирование процедур передачи через API информации о счетах юрлиц при онлайн-кредитовании. В тестировании примет участия первая волна заинтересованных банков.

В качестве ближайших ориентиров обозначены две задачи:
1) обеспечить на уровне процедур согласие клиента, основанное на понимании, какие персональные данные, для чего и на какой срок он соглашается передавать;
2) сформировать доверенную среду в открытом банкинге.

Выделяются две характеристики доверенной среды:
1) прозрачные регуляторные условия для всех участников рынка, определяющие ответственность каждого. Для этого необходима единая для всех юридическая модель, единые правила обмена данными, система мониторинга доступности API и механизм контроля выполнения SLA;
2) высокий уровень ИБ.

В качестве системообразующих фигур поставщики API (банки), потребители API (стартапы, финтех-компании, банки и пр.) и сертификационный центр, обрабатывающий заявки потребителей и передающий их поставщикам

Екатерина Желунова

Детализировала содержание рекомендаций по ИБ, выделив:
- применяемую при проектировании Open API спецификацию, которая предусматривает использование стандартизированных интерфейсов и модель токена для безопасного доступа;
- часть рекомендаций по безопасной разработке API с учетом возможных рисков и уязвимостей

ЦБ будет предложен профиль защиты, содержащий проверочные кейсы для контроля качества и уязвимостей сервисов

По мере разворачивания проекта появятся также правила допуска участников к общей среде Open API

Екатерина Флоровичева:

Стандарты позволяют уйти от практики, когда интеграция сервиса с каждым каналом была уникальным решением, не масштабируемым на другие каналы и сервисы. Следование стандартам упрощает интеграционные взаимодействия, позволяет с меньшими затратами расширять клиентскую базу.

Стандарты не отвечают на вопрос, как и с кем взаимодействовать, чтобы увеличить маржинальность или расширить линейку продуктов. Однако они создают благоприятные предпосылки для решения этих задач.

Экономического эффекта от внедрения стандартов банк может достичь при условии развитой инфраструктуры. Из-за отсутствия базовых составляющих, таких как шлюз и средства аутентификации, банки не могут предоставить сторонним потребителям доступ к сервисам, отвечающий требованиям ИБ. Вложение в эти инструменты требует гораздо больших затрат, чем переписывание под стандарты имеющихся сервисов или изменение сложившихся интеграций.

Многие банки рассматривают данные счетов юрлиц как свою собственность, что создает барьер для вхождения в среду Open banking. Этого можно избежать, если продумывать возможности использования стандартов для работы с клиентами, которые обслуживаются сразу в нескольких банках.

Доступ к API будет предоставляться финтех-компаниям и ретейлерам, входящим в ГК ВТБ. Есть ретейлеры, заинтересованные в построении платежных инструментов на инфраструктуре банка, и стартапы, проходящие акселерационную программу в ВТБ. За пределами этого круга банк будет выбирать партнеров, сотрудничество с которыми экономически выгодно

Банк вкладывается в создание единого стандарта и общей инфраструктуры его использования. Но как коммерческая организация строит свой бизнес самостоятельно и сам определяет, с кем и как взаимодействовать через API

Алма Обаева:

Важно, чтобы третья сторона, включающаяся промежуточным звеном между банком и клиентом, была сертифицированным провайдером, а также, чтобы работа сертификационного центра регулировалась отдельным законом или подзаконными актами.

После решения проблемы информированного согласия клиента и практической реализации проекта в целом Россия сможет поставлять созданные в этой области технологии на мировой рынок.

Александр Нам:

Мы достаточно вложились в исследования возможностей Open API и решили, что нельзя засиживаться в R&D и пора выводить на рынок продукт. Не дожидаясь выпуска стандартов, изучили API каждого банка и сделали интеграцию со всеми системообразующими банками. Для коммерческой организации важно скорейшее получение прибыли, уменьшение time to market.