Dyrektywa PSD2, jak banki powinny przygotować architekturę IT?

Z początkiem 2018 roku wejdzie w życie nowa dyrektywa unijna regulująca rynek płatności PSD2 – Payments Services Directive 2, która obejmie swoim zasięgiem wszystkie kraje członkowskie. Zmiany jakie wprowadza wymagają od instytucji prowadzących rachunki klientów odpowiednich działań. Instytucje bankowe powinny szybko dostosować swoją architekturę IT, aby sprostać tym wymogom jednocześnie pozostając konkurencyjnym na rynku usług bankowych

---

Dyrektywa PSD2 – nowe regulacje względem usług bankowych

Rozwój technologiczny poprzez który można rozumieć digitalizację oraz ciągły rozwój e-gospodarki, czyli e-commerce i świadczonych usług drogą elektroniczną sprawił, że pojawiły się na rynku nowości, które do tej pory nie były uregulowane. Jednym z założeń dyrektywy jest umożliwienie dostępu do rachunku bankowego podmiotom trzecim (TPP – Third Party Providers). Takie postanowienie wprowadzi do katalogu usług płatniczych dwa nowe typy usług:

– AIS (Account Information Service) – usługa dostępu do informacji o rachunku, pozwalająca TPP na pobieranie informacji o rachunkach płatniczych klienta u jednego lub kilku dostawców. Dzięki temu klient za pośrednictwem TPP będzie mógł natychmiast uzyskać informacje o swojej sytuacji finansowej.

– PIS (Payment Initiation Service) – usługa inicjowania płatności, pozwala na udzielenie TPP dostępu do rachunków online klienta i realizowanie płatności w jego imieniu. TPP będzie miało możliwość inicjowania płatności do określonego odbiorcy, a następnie raportowania klientowi o jej realizacji.

Oczywiście realizacja przez TPP powyższych usług będzie możliwa tylko pod warunkiem uzyskania odpowiedniego zezwolenia od klienta.

Kolejną ważną nowością jest obowiązek stosowania tzw. silnego uwierzytelnienia klienta (ang. strong customer authentication – SCA), które oznacza uwierzytelnienie dwuczynnikowe mające zapewniać wyższy poziom wiarygodności. Oznacza to, że uwierzytelnienie powinno być oparte o zastosowanie co najmniej dwóch elementów z kategorii:

– wiedza (coś o czym wie tylko użytkownik np. dane logowania),

– posiadanie (coś co posiada wyłącznie użytkownik np. kod sms),

– cechy klienta (coś, co charakteryzuje użytkownika).

Uwierzytelnianie klienta ma być uniwersalne dla wszystkich transakcji online dla kwoty powyżej 10 Euro, które przewidują dodatkowe kroki przy płatnościach za zakupy np. wprowadzenie hasła, kodu jednorazowego ze zdrapki czy smsa.

Wymogi PSD2 względem banków. Jak przygotować architekturę IT?

Dla banków i innych podmiotów, które prowadzą rachunki płatnicze taka dyrektywa oznacza, że będą one musiały w bezpieczny sposób udostępniać dane zewnętrznym podmiotom. W kontekście architektury IT wymusza to przygotowanie API, z których będą mogły korzystać TPP. Każdy bank będzie miał obowiązek zaprojektowania odpowiednich usług, które pozwolą na korzystanie z danych dotyczących rachunków wszystkim uprawnionym do tego podmiotom (Rysunek 1). Po otrzymaniu zlecenia płatniczego za pośrednictwem TPP, banki przekazują lub udostępniają TPP wszystkie informacje o zainicjowaniu transakcji płatniczej oraz wszystkie informacje dostępne dostawcy usług płatniczych prowadzącemu rachunek w odniesieniu do wykonania transakcji płatniczej. Dostawca prowadzący rachunek powinien zapewnić, bezpieczny sposób komunikacja pomiędzy nim a TPP.

Obecnie większość banków nie miała obowiązku oraz potrzeby udostępniania takich danych firmom trzecim, przez co takie rozwiązania dopiero będą przez banki analizowane i wdrażane. Z punktu widzenia dostawcy prowadzącego rachunek, udostępnienie podmiotom trzecim rachunku płatniczego użytkownika jest dodatkowym czynnikiem ryzyka (w szczególności w zakresie ochrony danych osobowych), z którym m.in. banki będą musiały się uporać. Teraz banki będą zobowiązane spełniać określone standardy zarówno dotyczące definicji interfejsu, jak i towarzyszącemu temu zapewnieniu bezpieczeństwa podczas komunikacji.

Wykorzystaj Anypoint Platform jako rozwiązanie umożliwiającego udostępnianie usług!

Naprzeciw potrzebom związanym z wejściem w życie dyrektywy PSD2, dostawcy systemów integracyjnych wychodzą dostosowując swoje rozwiązania do wymogów jakie banki i inne instytucje prowadzące rachunki płatnicze będą musiały spełniać. W związku z tym, że banki będą szukały możliwości bezpiecznego udostępniania swoich danych zapewne przez Open API, z którego będą mogły korzystać nie tylko bankowe podmioty. Jednym z najlepszych rozwiązań pozwalających na odpowiednie dostosowanie  architektury IT do zmian jest  Anypoint Platform dostarczane przez firmę MuleSoft. Narzędzie zbudowane zostało tak by wspierać architekturę SOA i jest dostosowane do wyzwań i możliwości jakie niesie za sobą dyrektywa PSD2 i „otwarta bankowość”. Podejście zmienia drogę operacji IT i decentralizuje dostęp do danych i funkcji bez pogorszenia ładu i poziomu bezpieczeństwa.

Banki posiadają złożoną strukturę i przeplatające się sposoby komunikacji, które wymagają zwinności i elastyczności. Takie wymogi mogą być realizowane za pomocą architektury wielowarstwowej (Rysunek 2).

Warstwa dla centralnych systemów występująca na samym dole, stanowi podstawę wszystkich architektur IT, w skład których mogą wchodzić m.in. rdzeń systemu bankowego, kluczowe systemy płatności czy własne bazy danych. Dostęp do tych systemów często jest ograniczony ze względu na regulacje i polityki bezpieczeństwa. Utworzenie API dla tych systemów pozwala na poprawę synchronizacji danych i daje możliwość stworzenia usług tylko na potrzeby systemów corowych. Zapewnia ono środki do uzyskiwania dostępu do systemów bazowych rejestrując i wystawiając te dane, często w formie kanonicznej. Te rzadko zmieniające się API będą podlegały pod centralne IT, dla którego najważniejsze jest odpowiednie zabezpieczenie istotnych danych.

Druga, procesowa warstwa API odpowiada za obsługę danych biznesowych, jednak w sposób niezależny od systemów źródłowych, z których te dane się wywodzą oraz od kanałów docelowych, do których te dane mają zostać dostarczone. Na tym poziomie banki mogą zadbać o automatyzację procesów biznesowych oraz poprawę integracji aplikacji bankowych. Te interfejsy API pozwalają na wykonywanie specyficznych funkcji niezależnie od lokalizacji, produktu czy kanału, jednocześnie nie mając bezpośredniego dostępu do danych centralnych.

Na najwyższym poziomie tzw. Experience Layer dane mogą być przetwarzane w szerokim zbiorze kanałów, z których każdy może mieć dostęp do tych samych danych w różnych formach. Na przykład bankomat, aplikacja mobilna, bankowość elektroniczna czy podmiot zewnętrzny (TPP) mogą mieć dostęp do tych samych pól informacyjnych klienta, jednocześnie dostosowując odpowiednio format danych pod każdą z tych grup. Warstwa ta (Experience API) pozwala na konfigurowanie danych w taki sposób, jaki jest najłatwiejszy do wykorzystania przez odbiorców. Dzięki temu dostosowanie się do wymogów zawartych w dyrektywie PSD2 jest możliwe i nie wymaga tworzenia nowych odseparowanych integracji punkt-punkt dla każdego kanału.

Dzięki współpracy z największymi firmami i kilkoma czołowymi bankami, które korzystają z Anypoint Platform, MuleSoft opracował zestaw najlepszych praktyk. Pozwalają one na 2-5 razy szybsze uruchamianie nowych inicjatyw, łączenia systemów czy odblokowania danych dla całego przedsiębiorstwa przy jednoczesnej redukcji kosztów integracji o ok. 30%. Rozwiązanie pozwala na ciągłe poszerzanie zakresu usług i stabilny rozwój, a zmiany jakie pojawiają się na rynku bankowym m.in. PSD2 pokazują jak szybko i elastycznie banki muszą sprostać nowym wymaganiom.

Podsumowanie

Dyrektywa PSD2 jest kolejną inicjatywą, która wywiera na bankach presję mając na celu zwiększenie dostępności danych bankowych i tworzenia nowych usług wspierających obsługę klienta. Niezależnie od podejścia tradycyjne banki będą musiały rozwinąć swoje zdolności w kontekście digitalizacji, aby pozostać konkurencyjnymi w docierania do klientów z nowymi ofertami.

Co bardzo istotne, banki także będą mogły przyjmować rolę AISP i PSP. W związku z powyższym instytucje te nie tylko będą ‘dostawcami’ danych i informacji o swoich klientach, ale mogą także być beneficjentem faktu dostępu do tych danych pochodzących ze źródeł zewnętrznych. PSD2 otwiera więc także przed bankami możliwość oferowania klientom zupełnie nowych usług oraz dotarcia ze swoją ofertą poprzez dotąd niewykorzystywane kanały.

Patrząc na zmiany na rynku niewykluczone jest, że za jakiś czas pojawią się kolejne zmiany, które będą po raz kolejny wymagały w instytucjach finansowych dostosowań w kontekście dostępności. Warto już teraz wziąć to pod uwagę.