Pavel Bujárek
Blog
PSD2: Testování Open API
Poměrně mladá technická směrnice Evropské unie nařizuje bankám, aby zpřístupnily klientské účty licencovaným třetím stranám, které si daný klient přeje mít při platebních stycích za prostředníka.
Tato Směrnice pro platební služby EU ve své druhé verzi (Payment Services Directive, version 2 – PSD2) operuje s poměrně velkým množstvím zkratek. Zápolení s nimi nemusí být jen jedním z mnoha údělů softwarového testera, ale také všech uživatelů online bankovnictví. V Teseně jsme celým procesem pomohli úspěšně projít už několika našim klientům a následující řádky mají za cíl představit či připomenout zásadní pojmy, se kterými se při řešení této problematiky setkáváme. Jste připraveni?
SCA: Kdy je autentizace klientů dostatečně silná?
14. září 2019 měla nadejít přelomová sobota. Sobota měnící svět online bankovnictví. Metoda 3D Secure (3D-S) využívající k ověření klienta SMS kód měla přestat být dostatečně silnou z hlediska bezpečnosti. Směrnice Evropského parlamentu a rady EU (PSD2) dala vzniknout navazujícím technickým nařízením (RTS). Ty požadují, aby přišla doba nového silnějšího způsobu autentizace klienta – SCA. Pro mnoho finančních institucí se ale zmíněná sobota stala neúprosným termínem a změny se začaly uvádět až po tomto datu. Vznikl nový deadline: 31. prosince 2020.
Silná autentizace klienta (Strong Client Authentication - SCA) totiž kromě SMS kódu operuje ještě minimálně s jedním uživatelským údajem. Jakým? V teoretické rovině přináší SCA tři oblasti pojmenované Znalost, Držení a Inherence. Do oblasti Znalost spadá údaj zadaný uživatelem – jeho bezpečnostní heslo, PIN, ale i datum narození. V jeho Držení je potom například telefon, kam dorazí SMS, či bankovní aplikací generovaná notifikace. Do zbývající oblasti nazvané Inherence spadají údaje od uživatele nějakým způsobem neoddělitelné – například jeho biometrické údaje. Aby se pak jednalo o dostatečně silnou metodu, musí se uživatel prokázat minimálně jedním údajem ze dvou různých oblastí. V praxi, v případě přihlášení se do internetového bankovnictví, tedy k SMS kódu (Držení) například přibývá bezpečnostní heslo či datum narození (Znalost).
Ne vždy je však potřeba, aby se klient ověřoval silně, pomocí SCA. Jedno silné ověření, platí pro některé úkony až několik desítek dní (třeba 90). Stejně tak je uvedena řada výjimek, kdy SCA není vyžadováno – například u transakcí mezi vlastními účty klienta či při transakcích o nízkých částkách.
PSD, PSD2 a… RTS
Technická Směrnice pro platební služby (Payment Services Directive - PSD) přinesla a přináší mnohem více – jejím cílem je vytvoření jednotného evropského trhu pro bankovní služby, který by podléhal přísnějšímu bezpečnostnímu standardu a ochraňoval tak koncové uživatele. Na tomto trhu se nacházejí tradiční banky i nové nebankovní instituce nabízející služby téměř totožné („FinTech“).
Stěžejní je pro směrnici PSD, její druhou verzi PSD2 a následných 6 dodatků - Regulatorních technických standardů (RTS), požadavek k vytváření a zpřístupňování aplikačních programových rozhraní (API), která mohou instituce používat při vzájemné komunikaci. Přínosem jsou pro vyvíjené aplikace – zjednodušeně řečeno je stačí aplikací zavolat a ony obstarají požadovanou službu, aniž by tato požadovaná služba musela být obsažena v kódu samotné aplikace. Díky tomu je například možné obsluhovat z jedné bankovní aplikace účty u ostatních bank – tzv. Multibanking.
Třetím stranám, kterými mohou být pro konkrétní banku samozřejmě i jiné banky, směrnice nabízí více možností – například informaci, zda mají klienti v době online transakce dostatek prostředků na účtu. Tato opatření mají v kombinaci s SCA snižovat pravděpodobnost podvodné platby, Fraudu. Nesou s sebou ale i riziko zneužití třetí stranou (např. monitorování pohybů na účtech zákazníků, zneužití osobních údajů, apod.).
Open API, COBS, SBA, NextGenPSD2
Pokud je aplikační programové rozhraní (API) dostatečně zdokumentované, dostupné vývojářům z jiných finančních institucí a je k němu nabídnuta možnost vyzkoušet si API nanečisto v sandbox módu, jedná se o tzv. Otevřené bankovnictví API (Open API). Směrnice PSD požaduje Open API. Co nepožaduje (zatím), je to, jak má API vypadat.
Samotná rozhraní tak mohou podléhat několika standardům, jakým je například tzv. Berlínský standard ('NextGenPSD2'), jenž je využíván bankami vlastněnými majiteli převážně z německy mluvících zemí. V Česku převládá Czech Standard for Open Banking (COBS) a na Slovensku Slovak Banking API Standard (SBA). Standardy například určují strukturu volání aplikací do banky a stejně tak strukturu odpovědi.
AIS a PIS nejen od ASPSP
Pokud chce poskytovat nějaká nebankovní instituce bankovní služby, potom potřebuje licenci a případné bezpečnostní certifikáty – v ČR od České národní banky nebo jiné oficiální autority pro země EU.
Po jejich získání se tato instituce označuje jako Třetí strana poskytující služby (Third Party Provider - TPP). Banky a instituce, kde si může klient vést účet, jsou Poskytovateli služeb k platebním účtům (Account Servicing Payment Service Provider - ASPSP). ASPSP i TPP nabízejí na základě směrnice PSD2 službu informování se o účtu (Account Information Service - AIS) a službu iniciování platby (Payment Initiation Service - PIS).
Je libo být AISP, PISP, CISP anebo všemi dohromady?
Instituce mohou žádat nejen o jednu ze tří oblastí služeb, které mohou v budoucnu svým klientům poskytovat, ale i o jejich libovolné kombinace.
Mohou být poskytovateli informací o účtech (Account Information Service Provider - AISP) a nabízet služby informující o platebních účtech klienta, jakými je například zobrazení seznamu všech účtů, zůstatek na konkrétním účtu, ale i transakční historie na zvoleném účtu klienta.
Je potřeba nabízet zadávání plateb? Pak budou označováni jako poskytovatelé platebních služeb (Payment Initiation Service Provider - PISP). Vzhledem k množství různých typů transakcí je právě tohle oblast, které banky věnují nejvíce úsilí. Kromě toho je ale také možné pomocí služby získat základní informaci, zda má klient na účtu transakcí požadované prostředky či nikoliv.
Zatím nepříliš využívané služby iniciované kartou vydanou poskytovatelem služby (Card-based Payment Instrument Issuer - CISP) prozradí, zda klient před započetím platby kartou má či nemá na účtu dostatek peněz k transakci.
PSD3?
Co čekat dál? Aplikační programová rozhraní Otevřeného bankovnictví v současnosti podléhají několika standardům, uvádí se, že až sedmi – těm od Evropské bankovní autority (EBA) i iniciativ jako Berliner Group. Snahou potom je rozdrobenou situaci slučovat a je možné, že vznikne nový standard vycházející z nejpoužívanějšího - berlínského. Služby se také budou postupně rozšiřovat i mimo online účty, například na účty kreditních karet.
V první řadě je ale nutné, aby právě čas, který banky usilovně dohánějí, prověřil směrnici PSD i její požadavky na platební služby, které mohou doplňovat, být doplňovány nebo postupně nahrazovány tzv. instantními platbami Evropské centrální banky. Stále častěji je také očekávána třetí verze směrnice – PSD3.
Závěr
Evropské banky mají stále za cíl dodržovat technickou Směrnici o platebních službách EU (PSD2). Ta požaduje tvorbu nástrojů pro propojení nebankovních institucí s tradičními bankami. Děje se tak především pomocí zdokumentovaných aplikačně programových rozhraní (Open API), která dávají banky k dispozici ostatním licencovaným institucím k využití při tvorbě jimi vyvíjených aplikací. Díky tomu mají klienti bank možnost využívat stanovené služby ke svému účtu i přes aplikace jimi zvolených třetích stran. Samotná podoba aplikačních rozhraní ale směrnici zatím nepodléhá a dá se tedy předpokládat pokus o budoucí standardizaci. Dalším hlavním požadavkem směrnice je zavedení silnějších metod ověřování klientů (SCA), která má uživatelům poskytovat vyšší ochranu a zároveň snižovat možné podvodné platby. Posledním stanoveným termínem, kdy mají všechny evropské banky SCA zavést je 31. prosinec 2020.