Игра в открытую. Выигрывают все!
Открытый банкинг и данные клиента: безопасность – на первом месте. Приставка open (рус. «открытый») уже стала привычной, когда мы говорим о развитии сферы финансовых услуг: открытые данные, открытые API, открытый банкинг, открытое страхование и т. д. Трансформация финансовой системы обусловлена стремительным развитием технологий и меняющимися потребностями клиентов. Всё чаще решения о финансовых операциях принимают миллениалы – поколение, которое выросло со смартфоном в руках и привыкло к мгновенным результатам, быстрым операциям, «бесшовному» опыту: они хотят всё и сразу и не хотят зависеть от одного поставщика или банка. Поэтому рынок банковских услуг превращается в маркетплейс, где клиенты набирают себе в «корзину» финансовые услуги независимо от того, кто их предоставляет – банки или небанковские организации. Ради лояльности клиентов и расширения собственных возможностей кредитные организации по всему миру активно внедряют концепцию открытого банкинга с помощью технологии открытых API (application programming interfaces – интерфейсы, позволяющие сторонним разработчикам интегрироваться с информационными системами банков и использовать данные клиентов с их согласия).
ВОКРУГ СВЕТА
Согласно новому исследованию компании Tink (европейской платформы, которая объединяет 2,5 тыс. банков и финансовых организаций), в 2020 году доля тех, кто позитивно относится к открытому банкингу в Европе, составила 61%. Кроме того, банки всё больше понимают важность взаимодействия с финтехами. По результатам опроса каждый пятый респондент (22%) сотрудничает по крайней мере с одной финтех-компанией, а некоторые имеют до пяти таких партнёров. И чем активней развиваются технологии, тем больше становится совместных проектов. Так, за 2019 год большинство (69%) европейских банков нарастили сотрудничество с финтехами, и ещё столько же указали развитие совместных решений среди приоритетных задач на следующий год.
Сейчас преимущества открытого банкинга и внедрения технологии открытых API, такие как увеличение числа сервисов и приложений, расширение клиентской базы, рост удобства и снижение затрат, банки уже распробовали. Финансовые и нефинансовые организации всё чаще обмениваются технологиями, открывают доступ к своим системам и данным. И теперь во всём мире на первое место выходит вопрос обеспечения безопасности персональных данных клиентов.
Так, в Австралии с начала февраля вступили в силу правила работы с информацией клиентов (Consumer data rights, CDR) – они формализуют стандарты открытых банковских данных. В пилотном проекте участвовало четыре крупнейших кредитных организации страны, и с 1 июля 2020 года все банки обязаны сообщать клиенту, какую персональную информацию о нём они хранят, и давать право с его согласия передавать её третьим лицам.
Правительство Канады весной 2020 года приступило ко второму этапу реализации концепции открытого банкинга, и особое внимание уделяется обеспечению безопасности клиентских данных. Консультативный комитет по открытому банкингу (Advisory Committee on Open Banking) привлечёт заинтересованные стороны, чтобы разработать рекомендации для улучшения защиты данных, изучить вопросы управления, контроля личных данных потребителей, конфиденциальности и безопасности.
В России открытый банкинг и технология открытых API также являются перспективным направлением развития сферы финансовых услуг. Согласно исследованию E&Y, 99,5% наших граждан если не пользуются постоянно, то как минимум осведомлены о финтех-сервисах для денежных переводов и различных видов платежей. Над внедрением открытых API работают все ключевые игроки финансового рынка – регулятор, финтех-компании, небанковские организации и, конечно, сами банки, причём как самостоятельно, так и объединив усилия на площадке Ассоциации ФинТех (АФТ).
ЗАЧЕМ ПЕРЕДАВАТЬ СВОИ ДАННЫЕ
Ради комфорта и экономии времени клиент передаёт банковским или небанковским организациям часть работы со своими финансами и для этого предоставляет им необходимую информацию: Ф. И. О., номера счетов, список транзакций по счетам, остатки на счетах и др. Организации хранят эти данные и при необходимости обновляют, обмениваются, разрабатывают на их основе новые финансовые сервисы и приложения, формируют выгодные персональные предложения, используют для аутентификации. Как это происходит на практике?
Ассоциация ФинТех совместно с несколькими банками инициировала пилотный проект «Кредитование юридических лиц». Технически в процессе участвуют три стороны: первая – юридическое лицо, вторая – банк, в котором это лицо обслуживается, и третья – банк, в котором юрлицо хочет взять кредит.
Клиент заходит на сайт банка-кредитора, заполняет анкету и на шаге предоставления выписки по счёту выбирает из списка свой банк, который ведёт его расчётно-кассовое обслуживание (РКО), и нажимает кнопку «Дать согласие». Система перенаправляет клиента на сайт его банка, где он даёт своё согласие на предоставление выписки банку-кредитору на определённый срок, например, 1 месяц. Чтобы получить выписку, банк-кредитор сам запрашивает данные в банке клиента, предъявляет согласие на доступ к информации, а банк клиента это согласие проверяет и выдаёт необходимые данные.
Таким образом, для клиента значительно сокращается алгоритм действий: ему не нужно идти в банк, распечатывать документы, ставить печать, не нужно даже заходить в интернет-банк и заказывать выписку в формате PDF.
В настоящее время разрабатывается несколько вариантов взаимодействия клиента с банком, в частности, возможность выдавать долгосрочное и краткосрочное согласие. При краткосрочном согласии клиент будет выдавать разрешение на использование данных для совершения только одной операции. При долгосрочном согласии – на полгода или год – клиент даст право сервисам, например, PFM (Personal Financial Management, рус. управление личными финансами), «заходить» в его банки с помощью открытых API и собирать всю необходимую для оказания услуг информацию.
Совместный пилотный проект предполагает, что клиент в режиме реального времени сможет контролировать и управлять доступом к своим данным: на сайте или в приложении своего банка он сможет посмотреть полный перечень организаций, которым выдавал согласие, с указанием, когда, кому и в каком объёме. Также клиент сможет отозвать ранее выданное согласие. И здесь возникает интересный момент: как гарантировать, что банк удалит уже полученные данные, и нужно ли это делать? Сейчас вокруг этого вопроса идёт дискуссия как в России, так и за рубежом.
КТО ОТВЕЧАЕТ ЗА СОХРАННОСТЬ ДАННЫХ?
Если учесть, что банки будут делиться информацией о своих клиентах с другими участниками среды открытых API, то и ответственность за обработку и передачу персональных данных и банковской тайны ложится на каждого – как на банки, так и на финтехи. Согласно «Концепции открытых API», разработанной на площадке Ассоциации ФинТех, право использовать данные получат только аккредитованные участники, при этом процедура аккредитации не должна создавать избыточные барьеры.
Чтобы финтех-компания, даже небольшая, получила право доступа к открытым API банков, она должна соответствовать определённым требованиям: техническим, то есть требованиям информационной безопасности, юридическим (чистота этой компании) и экономическим. Если финтех соответствует всем вышеперечисленным требованиям, ему выдаются электронный сертификат и ключ, с помощью которых компания сможет обращаться к открытым API банков.
ДАННЫЕ И ЗАКОН
В России работу с персональными данными регламентируют Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 года и Гражданский кодекс (статья о банковской тайне, её защите и передаче). Они обязательны для исполнения всеми компаниями, зарегистрированными в России, а также филиалами иностранных организаций.
Законы, акты и нормативы постоянно дорабатываются с учётом трансформации финансовой системы и появления новых технологий. Так, за последнее время вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»; принят ГОСТ «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций»; доработана нормативная база для работы с Единой биометрической системой; приняты поправки в Положение Банка России 382-П (о требованиях к обеспечению защиты информации при переводах денежных средств). И регулятор продолжает обновлять правовую базу и повышать информационную и цифровую безопасность финансового рынка.
Что касается стандартов и механизмов внедрения открытых API, они прорабатываются на площадке Ассоциации ФинТех совместно с ключевыми игроками российского финансового рынка. В августе 2019 года Наблюдательный совет АФТ одобрил «Концепцию открытых API», особое внимание в которой уделено вопросам информационной безопасности и аккредитации участников. В частности, сейчас на рассмотрении Банка России находится стандарт «Информационная безопасность открытых API».
КАК ДОСТУП К ДАННЫМ ОСУЩЕСТВЛЯЕТСЯ СЕЙЧАС
Пока из-за отсутствия регулирования, единых правил и стандартов обмена данными банки и финтехи вынуждены использовать технологию скринскрапинга (англ. screenscraping). Скринскрапинг – это сбор в автоматическом режиме информации, в том числе данных пользователей сайтов и приложений. Специальные программы эмулируют (то есть имитируют с помощью программных средств) работу пользователя в приложениях и собирают клиентские данные, включая историю операций и транзакций.
Такой подход подразумевает, что клиент оставляет свои авторизационные данные разработчику сервиса, использующего скринскрапинг, и не контролирует дальнейшее распространение и использование данных, надеясь лишь на порядочность разработчиков приложения и других участников финансовых процессов. Конечно, одного логина и пароля от вашего личного кабинета недостаточно, чтобы совершить транзакцию или операцию (как правило, для этого нужна двойная аутентификация – такая, как СМС-код или push-уведомление), но достаточно, чтобы посмотреть все связанные аккаунты, историю и объём транзакций, наличие валютных счетов, задолженности, периодичность и суммы платежей и многое другое. Все эти данные используются, например, чтобы узнать кредитоспособность клиента или подобрать персональное предложение – при этом сам клиент не будет знать, что его данные были использованы. Встречаются случаи, когда юридические лица добровольно и осознанно предоставляют доступ к финансовой информации для упрощения ведения бухгалтерии и отчётности, тем не менее никто не отвечает за её сохранность.
Безопасное хранение и обмен данными при скринскрапинге обеспечить невозможно, в том числе из-за отсутствия единых требований безопасности или SLA (англ. service level agreement, рус. соглашение об уровне сервиса). SLA – это мини-договор между компаниями, который устанавливает параметры качества ИТ-услуг. А так как скринскрапинг подразумевает негласный сбор данных, то никакого договора и взаимной ответственности между источником информации и её конечным пользователем не существует.
И это как раз принципиальное отличие от открытого банкинга, где участники рынка делятся информацией осознанно, в заранее установленном объёме, с согласия клиента и в условиях обеспечения информационной безопасности. При этом все участники среды открытого банкинга берут на себя ответственность за использование и обмен данными клиентов. В итоге в «игре в открытую» выигрывают все: и конечные пользователи, и банки, и финансовая отрасль в целом.
Автор: Татьяна Жаркова
Согласно новому исследованию компании Tink (европейской платформы, которая объединяет 2,5 тыс. банков и финансовых организаций), в 2020 году доля тех, кто позитивно относится к открытому банкингу в Европе, составила 61%. Кроме того, банки всё больше понимают важность взаимодействия с финтехами. По результатам опроса каждый пятый респондент (22%) сотрудничает по крайней мере с одной финтех-компанией, а некоторые имеют до пяти таких партнёров. И чем активней развиваются технологии, тем больше становится совместных проектов. Так, за 2019 год большинство (69%) европейских банков нарастили сотрудничество с финтехами, и ещё столько же указали развитие совместных решений среди приоритетных задач на следующий год.
Сейчас преимущества открытого банкинга и внедрения технологии открытых API, такие как увеличение числа сервисов и приложений, расширение клиентской базы, рост удобства и снижение затрат, банки уже распробовали. Финансовые и нефинансовые организации всё чаще обмениваются технологиями, открывают доступ к своим системам и данным. И теперь во всём мире на первое место выходит вопрос обеспечения безопасности персональных данных клиентов.
Так, в Австралии с начала февраля вступили в силу правила работы с информацией клиентов (Consumer data rights, CDR) – они формализуют стандарты открытых банковских данных. В пилотном проекте участвовало четыре крупнейших кредитных организации страны, и с 1 июля 2020 года все банки обязаны сообщать клиенту, какую персональную информацию о нём они хранят, и давать право с его согласия передавать её третьим лицам.
Правительство Канады весной 2020 года приступило ко второму этапу реализации концепции открытого банкинга, и особое внимание уделяется обеспечению безопасности клиентских данных. Консультативный комитет по открытому банкингу (Advisory Committee on Open Banking) привлечёт заинтересованные стороны, чтобы разработать рекомендации для улучшения защиты данных, изучить вопросы управления, контроля личных данных потребителей, конфиденциальности и безопасности.
В России открытый банкинг и технология открытых API также являются перспективным направлением развития сферы финансовых услуг. Согласно исследованию E&Y, 99,5% наших граждан если не пользуются постоянно, то как минимум осведомлены о финтех-сервисах для денежных переводов и различных видов платежей. Над внедрением открытых API работают все ключевые игроки финансового рынка – регулятор, финтех-компании, небанковские организации и, конечно, сами банки, причём как самостоятельно, так и объединив усилия на площадке Ассоциации ФинТех (АФТ).
ЗАЧЕМ ПЕРЕДАВАТЬ СВОИ ДАННЫЕ
Ради комфорта и экономии времени клиент передаёт банковским или небанковским организациям часть работы со своими финансами и для этого предоставляет им необходимую информацию: Ф. И. О., номера счетов, список транзакций по счетам, остатки на счетах и др. Организации хранят эти данные и при необходимости обновляют, обмениваются, разрабатывают на их основе новые финансовые сервисы и приложения, формируют выгодные персональные предложения, используют для аутентификации. Как это происходит на практике?
Ассоциация ФинТех совместно с несколькими банками инициировала пилотный проект «Кредитование юридических лиц». Технически в процессе участвуют три стороны: первая – юридическое лицо, вторая – банк, в котором это лицо обслуживается, и третья – банк, в котором юрлицо хочет взять кредит.
Клиент заходит на сайт банка-кредитора, заполняет анкету и на шаге предоставления выписки по счёту выбирает из списка свой банк, который ведёт его расчётно-кассовое обслуживание (РКО), и нажимает кнопку «Дать согласие». Система перенаправляет клиента на сайт его банка, где он даёт своё согласие на предоставление выписки банку-кредитору на определённый срок, например, 1 месяц. Чтобы получить выписку, банк-кредитор сам запрашивает данные в банке клиента, предъявляет согласие на доступ к информации, а банк клиента это согласие проверяет и выдаёт необходимые данные.
Таким образом, для клиента значительно сокращается алгоритм действий: ему не нужно идти в банк, распечатывать документы, ставить печать, не нужно даже заходить в интернет-банк и заказывать выписку в формате PDF.
В настоящее время разрабатывается несколько вариантов взаимодействия клиента с банком, в частности, возможность выдавать долгосрочное и краткосрочное согласие. При краткосрочном согласии клиент будет выдавать разрешение на использование данных для совершения только одной операции. При долгосрочном согласии – на полгода или год – клиент даст право сервисам, например, PFM (Personal Financial Management, рус. управление личными финансами), «заходить» в его банки с помощью открытых API и собирать всю необходимую для оказания услуг информацию.
Совместный пилотный проект предполагает, что клиент в режиме реального времени сможет контролировать и управлять доступом к своим данным: на сайте или в приложении своего банка он сможет посмотреть полный перечень организаций, которым выдавал согласие, с указанием, когда, кому и в каком объёме. Также клиент сможет отозвать ранее выданное согласие. И здесь возникает интересный момент: как гарантировать, что банк удалит уже полученные данные, и нужно ли это делать? Сейчас вокруг этого вопроса идёт дискуссия как в России, так и за рубежом.
КТО ОТВЕЧАЕТ ЗА СОХРАННОСТЬ ДАННЫХ?
Если учесть, что банки будут делиться информацией о своих клиентах с другими участниками среды открытых API, то и ответственность за обработку и передачу персональных данных и банковской тайны ложится на каждого – как на банки, так и на финтехи. Согласно «Концепции открытых API», разработанной на площадке Ассоциации ФинТех, право использовать данные получат только аккредитованные участники, при этом процедура аккредитации не должна создавать избыточные барьеры.
Чтобы финтех-компания, даже небольшая, получила право доступа к открытым API банков, она должна соответствовать определённым требованиям: техническим, то есть требованиям информационной безопасности, юридическим (чистота этой компании) и экономическим. Если финтех соответствует всем вышеперечисленным требованиям, ему выдаются электронный сертификат и ключ, с помощью которых компания сможет обращаться к открытым API банков.
ДАННЫЕ И ЗАКОН
В России работу с персональными данными регламентируют Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 года и Гражданский кодекс (статья о банковской тайне, её защите и передаче). Они обязательны для исполнения всеми компаниями, зарегистрированными в России, а также филиалами иностранных организаций.
Законы, акты и нормативы постоянно дорабатываются с учётом трансформации финансовой системы и появления новых технологий. Так, за последнее время вступил в силу Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»; принят ГОСТ «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций»; доработана нормативная база для работы с Единой биометрической системой; приняты поправки в Положение Банка России 382-П (о требованиях к обеспечению защиты информации при переводах денежных средств). И регулятор продолжает обновлять правовую базу и повышать информационную и цифровую безопасность финансового рынка.
Что касается стандартов и механизмов внедрения открытых API, они прорабатываются на площадке Ассоциации ФинТех совместно с ключевыми игроками российского финансового рынка. В августе 2019 года Наблюдательный совет АФТ одобрил «Концепцию открытых API», особое внимание в которой уделено вопросам информационной безопасности и аккредитации участников. В частности, сейчас на рассмотрении Банка России находится стандарт «Информационная безопасность открытых API».
КАК ДОСТУП К ДАННЫМ ОСУЩЕСТВЛЯЕТСЯ СЕЙЧАС
Пока из-за отсутствия регулирования, единых правил и стандартов обмена данными банки и финтехи вынуждены использовать технологию скринскрапинга (англ. screenscraping). Скринскрапинг – это сбор в автоматическом режиме информации, в том числе данных пользователей сайтов и приложений. Специальные программы эмулируют (то есть имитируют с помощью программных средств) работу пользователя в приложениях и собирают клиентские данные, включая историю операций и транзакций.
Такой подход подразумевает, что клиент оставляет свои авторизационные данные разработчику сервиса, использующего скринскрапинг, и не контролирует дальнейшее распространение и использование данных, надеясь лишь на порядочность разработчиков приложения и других участников финансовых процессов. Конечно, одного логина и пароля от вашего личного кабинета недостаточно, чтобы совершить транзакцию или операцию (как правило, для этого нужна двойная аутентификация – такая, как СМС-код или push-уведомление), но достаточно, чтобы посмотреть все связанные аккаунты, историю и объём транзакций, наличие валютных счетов, задолженности, периодичность и суммы платежей и многое другое. Все эти данные используются, например, чтобы узнать кредитоспособность клиента или подобрать персональное предложение – при этом сам клиент не будет знать, что его данные были использованы. Встречаются случаи, когда юридические лица добровольно и осознанно предоставляют доступ к финансовой информации для упрощения ведения бухгалтерии и отчётности, тем не менее никто не отвечает за её сохранность.
Безопасное хранение и обмен данными при скринскрапинге обеспечить невозможно, в том числе из-за отсутствия единых требований безопасности или SLA (англ. service level agreement, рус. соглашение об уровне сервиса). SLA – это мини-договор между компаниями, который устанавливает параметры качества ИТ-услуг. А так как скринскрапинг подразумевает негласный сбор данных, то никакого договора и взаимной ответственности между источником информации и её конечным пользователем не существует.
И это как раз принципиальное отличие от открытого банкинга, где участники рынка делятся информацией осознанно, в заранее установленном объёме, с согласия клиента и в условиях обеспечения информационной безопасности. При этом все участники среды открытого банкинга берут на себя ответственность за использование и обмен данными клиентов. В итоге в «игре в открытую» выигрывают все: и конечные пользователи, и банки, и финансовая отрасль в целом.
Автор: Татьяна Жаркова
Источник: IB-BANK.RU– "IB-BANK.RU "
Поделиться