История с применением открытых API требует подхода к стандартизации, потому что пока каждый банк начинает развивать собственные стандарты и протоколы обмена данных, которые не стандартизированы, поэтому при взаимодействии банкам приходится постоянно менять свои системы. Эту мысль высказал директор по информационной безопасности Ассоциации ФинТех Лев Шумский.

«Так делает и красный банк, и зеленый, и желтый, и даже желто-зеленый. Я уж не говорю про большое количество провайдеров услуг, которые предоставляют своим открытые API. И у банков, да и любых участников такого взаимодействия, возникает потребность перестраивать свои системы для интеграции с каждым новым API. Поэтому история с применением открытых API требует подхода к стандартизации, чтобы унифицировать и протоколы обмена данных, и унифицировать требования по безопасности, чтобы они были одинаковые для всех участников этого обмена», – сказал Лев Шумский во время своего выступления на конференции РусКрипто-2021.

Он также рассказал, что при изучении истории стандартизации они столкнулись с проблемой: как в мире подходят к регулированию открытого банкинга? В итоге они нашли несколько подходов и выбрали для себя вариант, когда утверждаются стандарты по применению технологий и они становятся обязательными для применения.

«Есть, конечно, минусы в этом. Стандартизация решений несколько сковывает привнесение инноваций, поскольку срок утверждения стандарта бывает достаточно большой. Но с точки зрения безопасности это скорее плюс, чем минус, но у бизнеса свои взгляды на этот вопрос», – добавил спикер.

Вместе с тем Ассоциация ФинТех совместно с Банком России в октябре прошлого года утвердили и ввели в действие два Стандарта. Один Стандарт прикладных API, который включал в себя описание трех типов обмена, трех типов API.

Второй Стандарт – это Стандарт по информационной безопасности, который носит название СТО БР, то есть Стандарт отраслевой Банка России – FAPISec.

«Почему называется так? Мы не стали придумывать ничего нового, а воспользовались международным опытом, в частности наработкой международной группы Financial-grade API, которая была создана вскоре после утверждения Второй платежной директивы в Евросоюзе, которая декларировала открытие открытых API банкам. И основная цель этой рабочей международной группы состояла в стандартизации и выработке дополнительных требований к протоколам и типологиям, которые используются в открытом банкинге именно для финансовой отрасли», – пояснил Лев Шумский.

Он также добавил, что в ходе работы над Стандартом СКО БР FAPISec была проведена огромная работа вместе с Банком России, с ТК-26 по гармонизации и применению криптографических стандартов.

«Поскольку стандарты живут и развиваются, Financial-grade API выпустил уже вторую версию стандарта. В наших планах их изучить, внести правки в уже утвержденные стандарты и постараться к концу года их точно также провести через ТК-26 и ТК-122 и утвердить приказом Банка России», — также поделился планами директор по информационной безопасности Ассоциации ФинТех.

Еще одним важным фактором открытого банкинга является наличие Сертификационного центра, который должен отвечать за идентификацию и доверие всех участников среды открытого банкинга друг другу. По словам Льва Шумского, это заложено и в самой идеологии открытого банкинга. Совет Ассоциации ФинТех уже принял решение, что до конца года они выступят оператором такого Центра сертификации. Также они запустили пилоты с банками-участниками по имплементации этой FAPI-сетки, прикладных стандартов.

«Сейчас эти пилоты активно идут. И думаю, что к концу года будет понятно и банкам, двигаться – они получат, набьют руку в программировании новых интерфейсов в соответствии со стандартом, потому что это, как показала практика, разработчикам это непривычно. Но я думаю, что общими усилиями все получится. И вполне возможно, что через паузу стандарты открытого банкинга в России тоже станут обязательными», — заключил Лев Шумский.