|
台灣金管會主委黄天牧日前颁布發表台灣开放銀行(Open Banking)第二阶段将在本年第3季上路,并先采纳试办模式。而在5月26日一场线上勾當中,卖力TSP媒合的政大,和卖力制订Open API技能與信息平安尺度的财金公司,配合揭穿开放銀行第二阶段最新過程與计划。
政大金融科技钻研中間主任王俪玲在阐明會暗示,开放銀行第二阶段的开放将是台灣开放銀行創建健全部制的关頭時刻。很多的技能、信息平安與法令规范都必需在這阶段建置完成,台灣的开放銀行才能延续往前迈進。
王俪玲還提到,该阶段包含了創建技能合规尺度、API配合验证测试尺度、信息平安风控技能认证、供给及格云端信息平安合规情况、後续信息平安與法令合规考核检验、争议处置與责任归属、信息平安保险等機制。
相较于开放銀行第一阶段是开放公然的非买卖面金融信息為主,第二阶段开放的消费者信息,因此小我金融信息和低危害金融申请办事為主,可盘问帐户與简略单纯信誉卡办事。王俪玲暗示,该阶段共有18支API,利用項目分為存款、貸款、其他銀行办事。利用情形像是帐户余额盘问、帐户整合、信誉卡比价、貸款比价、投資理财举荐、信誉卡設定等。
乃至,到将来第三阶段要开放的买卖面信息,今朝计划因此消费者付出、买卖功效為主,利用场景像是信誉卡點数利用、代收代付等。
不外,她提到,銀行對付把資料开放出去有所疑虑,加之營运尺度难告竣,和连线尺度門坎高,另有两邊赢利模式不明,都是开放銀行推广阻碍。為此,政大在上個月的阐明會,提到要為TSP合规供给教导,让TSP先合适銀行在信息平安與法令的各类请求,再来與銀行谈營業上的互助。
第二阶段开放哪些消费者信息盘问?API利用項目首度公然
财金公司企划部專案司理時薇茜则在阐明會揭穿开放API現行營業鞭策過程,與第二阶段消费者信息盘问计划,和API利用項目。
她提到,财金公司在去年末已完成第二阶段消费者信息盘问技能與信息平安尺度制订。本年,要举行第二阶段技能與信息平安尺度的核备,而且,协助銀行就审定版的技能與信息平安尺度,举行營業申请试办。
别的,本年财金也會延续察看如英國、澳洲、香港、新加坡等的成长形式,采集金融機构、财產界與學界需求與定见,再共同主管构造的核按時程,来拟订第三阶段买卖面信息的尺度,并转动式增订技能规格與完整信息平安规范。
按照銀行公會自律规范修订重點,第二阶段消费者信息盘问,新增供给金融来往信息和申请金融產物與办事。時薇茜诠释,金融来往信息是指消费者根基資料與銀行間来往的金融帐户與產物相干資料,好比帐余额盘问、信誉卡买卖信息、金融来往汗青买卖记实信息。另當舖聯盟,外一個则是消费者向銀行申请金融產物與办事,像是存款帐户开户申请、信誉卡申请、信誉卡附加功效申请、電子帐单申请及取缔等。
自律规范提到,金融機构與TSP業者两邊的互助需签定互助左券。而TSP與金融機构經由過程财金开放API平台举行信息传输,则會由TSP業者签定平台利用规范声明书,算是互助左券的附件,在申请上线時,则由金融機构代為交付。
自律规范也划定,金融機构需获得消费者事先赞成,就可以供给消费者資料给TSP業者,并须保存相干记实。時薇茜進一步提到,在流程上,TSP要协助利用者去金融機构获得金融来往信息前,得先以業者身份获得利用者办事需求與赞成,利用者在這架构下,再导页到金融機构举行OAuth身份认证與資料授权。
财金公司提到,去年末,銀行公會制订的自律规范,和财金拟订的技能與信息平安尺度都已函报给金管會。金管會上半年仍在举行資料整合與审查功课,她流露,金管會近期可能就會以現行自律规范與技能與信息平安尺度有一個审定,或是有修订建议會供给公會或财金。
時薇茜提到,本年下半,金融機构可與互助的TSP業者,针對現行核备的自律规范與技能與信息平安尺度,来提报金融機构營業申请试办,试办内容可根据金融立异试办要點来举行。但是,因第二阶段触及利用者小我金融来往信息,很直接影响到消费者权柄,参考國际間趋向,且為了谨严與稳健打點營業,以是會透過金融機构用營業试办方法,举行第二阶段自律规范、技能與信息平安尺度的实证,後续再将实证成果报给主管构造参考。
有别于第一阶段介入的TSP業者多為FinTech新創,财金公司指出,将来與銀行跨域互助的TSP業者,不论是科技新創、電贸易者、電信業者,乃至是其他金融機构,只要合适共通的營業與技能规范及信息平安尺度框架這個条件,都能與金融機构互助拓开展放銀行场域,实践金融办事多样性。
财金公司更首度揭穿第二阶段API利用項目,共分為存款、貸款、其他銀行办事3大类,共有18支API,好比貸款类就开放了10支API,像是申请信誉卡門路救济、申请信誉卡本期帐单分期、盘问信誉卡當期帐单信息、盘问信誉卡帐单买卖明细等。不外,财金夸大,這些将来城市转动式调解修订。
第二阶段三大技能请求重點:信息处置、凭证功课和认证機制
在這场线上集會中,财金公司研發部组长洪國峻也针對开放API第二阶段测实验证举行阐明,眾中可以進一步看到将来第二阶段在金融機构與TSP之間的技能运作方法,重要有三大重點,信息处置、凭证功课和认证機制的请求。
在信息处置部門,因应各金融機构OAuth处置機制分歧,同時為简化连线方法,OAuth信息由TSP業者直连金融機构。而API信息则由TSP業者介接财金後,再由财金转接金融機构。
在凭证功课部分,銀行、TSP、财金端皆采纳TLS雙向认证,而雙向认证會用通信凭证打點。以是,當TSP與金融機构签订互助并完成注册時,金融機构将先获得TSP通信凭证。而金融機构API信息若是是經過财金介接,则须供给銀行通信凭证與先前获得的TSP通信凭证给财金,做雙向凭证設定。接下来,财金将供给财金的通信凭证给金融機构,金融機构再将财金通信凭证交付给TSP業者。
而按照安控功课规范,在认证機制上,TSP業者的代办署理存取端與金融機构的資本伺服器或授腰椎貼布,权伺服器間,应創建认证機制。要遵守TLS雙向认证或因此签章的JSON Web Token(JWT)作认证,采纳凭证者,则要验证凭证與凭证的准确性與有用性。另外一個是,要用事前設定的来历收集位置(IP)正面表列管束。
洪國峻提到,為了因应這两點办法,财金公司在技能尺度计划,若是TSP直接介接金融機构,金融機构则依現行作法因应便可。但若TSP由财金公司转接金融機构,将采TLS雙向认证方法,财金在API信息布局Http Header中,将供给TSP業者信息提供应金融機构打點认证功课,包含凭证序号、發证单元、来历IP,這三個栏位则别离放在X-CSN、X-I帆布,SR、X-CIP,金融機构收到這三個栏位,便可以遵守安控功课规范去做事先认证。
為了确保供给API的銀行,和介接的TSP两邊技能設計都能合适规范,财金也設計了两阶段测实验证。包含金融機构艾灸治療,测试,和TSP與金融機构测试,前項测试包括信息收送、加解密处置;而TSP與金融機构間的测试,除信息收送、加解密处置,還多了一個认证授权(OAuth)。
洪國峻進一步诠释,在金融機构测试部門,主如果要验证金融機构第二阶段技能尺度的API信息实作完成度,由财金公司根据测试范畴验证金融機构API信息。他暗示,测试范畴包含盘问台外币活存存款帐户余额、盘问台外币活存存款帐户买卖明细信息這2項存款类的API,金融機构要在测试条件供Access Token供财金公司後续打點测试。
而财金公司與銀行端都需实作TLS雙向认证。以是,金融機构在测试前须交付API yaml档與銀行通信凭证给财金,财金则要交付自家的通信凭证,供给銀行設定雙向认证。接下来,财金就會打點API上架。
在TSP與金融機构测试這阶段,则是要验证TSP與金融機构在第二阶段技能尺度的实作整合性,由TSP業者與金融機构根据營業计划举行相干测试,财金公司则會在测试進程中协助解除两邊遭受的问题。
洪國峻暗示,该阶段今朝计划两大类测试范畴,一类是认证授权,共有4支API需实作,包含认证授权、获得存代替码、取缔存代替码、检點存代替码。另外一类测试,则按照金融機构在第二阶段要供给的營業范畴举行测试,這部門则由金融機构自選。 |
|