Banki testują nowe narzędzie
Wielkimi krokami zbliża się era otwartej bankowości, którą wprowadzają unijne regulacje. Banki testują już specjalne aplikacje, przez które pozabankowe firmy będą pobierać dane klientów. To jedno z kluczowych narzędzi pozwalających na zachowanie bezpieczeństwa.
Banki testują już specjalne aplikacje, przez które pozabankowe firmy będą pobierać dane klientów. To jedno z kluczowych narzędzi pozwalających na zachowanie bezpieczeństwa.
Od połowy września unijne regulacje wdrażające dyrektywę PSD2 sprawią, że usługi płatnicze będą funkcjonować na innych zasadach niż dotychczas.
Spore zmiany będą dotyczyć zarówno sposobu logowania do rachunków i autoryzacji transakcji (o czym pisaliśmy już w raporcie "Dyrektywa PSD2. Nadchodzi rewolucja w bankach?"), ale również zmienia się fundamentalna zasada dostępu do danych bankowych klienta. Firmy niebankowe (wg dyrektywy Third Party Providers -TPP) będą mogły świadczyć usługi na bazie pozyskanych przez nie danych bankowych klienta (ale wyłącznie za jego zgodą).
W Polsce zdecydowana większość banków zadeklarowała, że chce te dane udostępniać za pomocą specjalnego narzędzia - API.
Jak niedawno tłumaczyła w Interii Katarzyna Maja Tomaszewska z Urzędu Komisji Nadzoru Finansowego, stosowanie przez bank specjalnego interfejsu czyli API, za pomocą którego komunikuje się on z TPP, praktycznie eliminuje możliwość ujawnienia danych dostępowych klienta do systemu bankowości elektronicznej. Pozostają one znane wyłącznie klientowi i bankowi.
Dlatego tak ważne jest, by zapewnić dostępność i niezawodność przeznaczonego do tego celu API.
Unijne regulacje przewidują bowiem, że jeśli nie byłoby takiej wysokiej dostępności API, to zastosowana ma być procedura awaryjna tzw. fallback (jest mniej bezpieczna, bo naraża na ryzyko ujawnienia danych dostępowych do konta klienta).
Do tego by bank mógł zostać zwolniony z obowiązku posiadania opcji fallback, jednym z warunków jest przetestowanie w praktyce API w sposób zadowalający TPP. Takie ćwiczenia już trwają.
Interia zapytała największe banki na jakim są one etapie i jak je oceniają.
Do testów API PKO Banku Polskiego zgłosiło się blisko 100 firm. - Nie wszystkie skorzystały w pełni z możliwości jakie daje sandbox PKO. Niemniej grupa aktywnie testujących wykonała pełny zestaw testów - nie tylko w zakresie możliwości połączenia. Jesteśmy bardzo zadowoleni ze współpracy z podmiotami, które zgłosiły się do testów - szczególnie z aktywnie testującymi.
Zgłaszane pytania i uwagi pozwoliły nam zmodyfikować wystawione do testów usługi jak również wzbogacić własny zestaw testów automatycznych banku o dodatkowe scenariusze - tłumaczy Sebastian Choromański, menedżer produktu Portal Dewelopera w PKO Banku Polskim.
Jak dodaje, niektóre podmioty wykonały testy bardzo dobrze. Ich przebieg skłania do opinii, że nie będą miały problemów z integracją. - Grupa podmiotów, które zgłosiły się, ale nie przeprowadziły odpowiednio zaawansowanych testów może nie mieć tego komfortu.
Niemniej dla nas jako dostawcy usług płatniczych i utrzymującego rachunki (Account Servicing Payment Service Provider - ASPSP) wspomniane testy - prowadzone od 14 marca - są miarodajne ze względu na pełne pokrycie scenariuszy, jakie były i są stosowane przez aktywne podmioty. W pierwszych dniach testów po 14 marca odnotowaliśmy pewne drobne przeszkody w działaniu platformy testowej, jednak zostały natychmiast usunięte - tłumaczy Sebastian Chromański.
Testy prowadzi też drugi co do wielkości bank na rynku.
- Do dziś około 100 podmiotów zainteresowało się skorzystaniem z usług PSD2 wystawionych w ramach naszego sandboxa. Formalny proces rejestracji przeszło 13 podmiotów. Głównie są to testy integracyjne polegające na wywołaniu udostępnionych przez nas usług - mówi Szymon Staśczak, odpowiedzialny za otwartą bankowość w Santander Bank Polska.
Informacje dotyczące testów przekazał nam również BNP Paribas.
- Mamy około 34 testowych kont, czyli tylu użytkowników TPP już testuje połączenia z nami, a trzech działa już z certyfikatem produkcyjnym, czyli ma możliwość normalnie odpytywać API produkcyjne.
Analizujemy ruch, zbieramy statystyki, choć oczywiście nie jest to jeszcze duża skala, która pozwala na rzeczywiste przetestowanie bankowych API, to trzy najaktywniejsze aplikacje wygenerowały blisko 600 zapytań - mówi Interii Jarosław Mastalerz, dyrektor biura rozwoju procesów omnichannel w BNP Paribas. mBank poinformował z kolei, że kilka podmiotów obecnie aktywnie testuje jego API.
Monika Krześniak-Sajewicz