Dyrektywa PSD2, jak banki powinny przygotować architekturę IT?

Z początkiem 2018 roku wejdzie w życie nowa dyrektywa unijna regulująca rynek płatności PSD2 – Payments Services Directive 2, która obejmie swoim zasięgiem wszystkie kraje członkowskie. Zmiany jakie wprowadza wymagają od instytucji prowadzących rachunki klientów odpowiednich działań. Instytucje bankowe powinny szybko dostosować swoją architekturę IT, aby sprostać tym wymogom jednocześnie pozostając konkurencyjnym na rynku usług bankowych


Dyrektywa PSD2 – nowe regulacje względem usług bankowych

Rozwój technologiczny poprzez który można rozumieć digitalizację oraz ciągły rozwój e-gospodarki, czyli e-commerce i świadczonych usług drogą elektroniczną sprawił, że pojawiły się na rynku nowości, które do tej pory nie były uregulowane. Jednym z założeń dyrektywy jest umożliwienie dostępu do rachunku bankowego podmiotom trzecim (TPP – Third Party Providers). Takie postanowienie wprowadzi do katalogu usług płatniczych dwa nowe typy usług:

– AIS (Account Information Service) – usługa dostępu do informacji o rachunku, pozwalająca TPP na pobieranie informacji o rachunkach płatniczych klienta u jednego lub kilku dostawców. Dzięki temu klient za pośrednictwem TPP będzie mógł natychmiast uzyskać informacje o swojej sytuacji finansowej.

– PIS (Payment Initiation Service) – usługa inicjowania płatności, pozwala na udzielenie TPP dostępu do rachunków online klienta i realizowanie płatności w jego imieniu. TPP będzie miało możliwość inicjowania płatności do określonego odbiorcy, a następnie raportowania klientowi o jej realizacji.

Oczywiście realizacja przez TPP powyższych usług będzie możliwa tylko pod warunkiem uzyskania odpowiedniego zezwolenia od klienta.

Kolejną ważną nowością jest obowiązek stosowania tzw. silnego uwierzytelnienia klienta (ang. strong customer authentication – SCA), które oznacza uwierzytelnienie dwuczynnikowe mające zapewniać wyższy poziom wiarygodności. Oznacza to, że uwierzytelnienie powinno być oparte o zastosowanie co najmniej dwóch elementów z kategorii:

– wiedza (coś o czym wie tylko użytkownik np. dane logowania),

– posiadanie (coś co posiada wyłącznie użytkownik np. kod sms),

– cechy klienta (coś, co charakteryzuje użytkownika).

Uwierzytelnianie klienta ma być uniwersalne dla wszystkich transakcji online dla kwoty powyżej 10 Euro, które przewidują dodatkowe kroki przy płatnościach za zakupy np. wprowadzenie hasła, kodu jednorazowego ze zdrapki czy smsa.

Wymogi PSD2 względem banków. Jak przygotować architekturę IT?

Dla banków i innych podmiotów, które prowadzą rachunki płatnicze taka dyrektywa oznacza, że będą one musiały w bezpieczny sposób udostępniać dane zewnętrznym podmiotom. W kontekście architektury IT wymusza to przygotowanie API, z których będą mogły korzystać TPP. Każdy bank będzie miał obowiązek zaprojektowania odpowiednich usług, które pozwolą na korzystanie z danych dotyczących rachunków wszystkim uprawnionym do tego podmiotom (Rysunek 1). Po otrzymaniu zlecenia płatniczego za pośrednictwem TPP, banki przekazują lub udostępniają TPP wszystkie informacje o zainicjowaniu transakcji płatniczej oraz wszystkie informacje dostępne dostawcy usług płatniczych prowadzącemu rachunek w odniesieniu do wykonania transakcji płatniczej. Dostawca prowadzący rachunek powinien zapewnić, bezpieczny sposób komunikacja pomiędzy nim a TPP.

Obecnie większość banków nie miała obowiązku oraz potrzeby udostępniania takich danych firmom trzecim, przez co takie rozwiązania dopiero będą przez banki analizowane i wdrażane. Z punktu widzenia dostawcy prowadzącego rachunek, udostępnienie podmiotom trzecim rachunku płatniczego użytkownika jest dodatkowym czynnikiem ryzyka (w szczególności w zakresie ochrony danych osobowych), z którym m.in. banki będą musiały się uporać. Teraz banki będą zobowiązane spełniać określone standardy zarówno dotyczące definicji interfejsu, jak i towarzyszącemu temu zapewnieniu bezpieczeństwa podczas komunikacji.

Rys. 1 Schemat wykorzystania danych po wprowadzeniu dyrektywy PSD 2

Wykorzystaj Anypoint Platform jako rozwiązanie umożliwiającego udostępnianie usług!

Naprzeciw potrzebom związanym z wejściem w życie dyrektywy PSD2, dostawcy systemów integracyjnych wychodzą dostosowując swoje rozwiązania do wymogów jakie banki i inne instytucje prowadzące rachunki płatnicze będą musiały spełniać. W związku z tym, że banki będą szukały możliwości bezpiecznego udostępniania swoich danych zapewne przez Open API, z którego będą mogły korzystać nie tylko bankowe podmioty. Jednym z najlepszych rozwiązań pozwalających na odpowiednie dostosowanie  architektury IT do zmian jest  Anypoint Platform dostarczane przez firmę MuleSoft. Narzędzie zbudowane zostało tak by wspierać architekturę SOA i jest dostosowane do wyzwań i możliwości jakie niesie za sobą dyrektywa PSD2 i „otwarta bankowość”. Podejście zmienia drogę operacji IT i decentralizuje dostęp do danych i funkcji bez pogorszenia ładu i poziomu bezpieczeństwa.

Banki posiadają złożoną strukturę i przeplatające się sposoby komunikacji, które wymagają zwinności i elastyczności. Takie wymogi mogą być realizowane za pomocą architektury wielowarstwowej (Rysunek 2).

Rys. 2 Architektura oparta na API w otwartej bankowości

Warstwa dla centralnych systemów występująca na samym dole, stanowi podstawę wszystkich architektur IT, w skład których mogą wchodzić m.in. rdzeń systemu bankowego, kluczowe systemy płatności czy własne bazy danych. Dostęp do tych systemów często jest ograniczony ze względu na regulacje i polityki bezpieczeństwa. Utworzenie API dla tych systemów pozwala na poprawę synchronizacji danych i daje możliwość stworzenia usług tylko na potrzeby systemów corowych. Zapewnia ono środki do uzyskiwania dostępu do systemów bazowych rejestrując i wystawiając te dane, często w formie kanonicznej. Te rzadko zmieniające się API będą podlegały pod centralne IT, dla którego najważniejsze jest odpowiednie zabezpieczenie istotnych danych.

Druga, procesowa warstwa API odpowiada za obsługę danych biznesowych, jednak w sposób niezależny od systemów źródłowych, z których te dane się wywodzą oraz od kanałów docelowych, do których te dane mają zostać dostarczone. Na tym poziomie banki mogą zadbać o automatyzację procesów biznesowych oraz poprawę integracji aplikacji bankowych. Te interfejsy API pozwalają na wykonywanie specyficznych funkcji niezależnie od lokalizacji, produktu czy kanału, jednocześnie nie mając bezpośredniego dostępu do danych centralnych.

Na najwyższym poziomie tzw. Experience Layer dane mogą być przetwarzane w szerokim zbiorze kanałów, z których każdy może mieć dostęp do tych samych danych w różnych formach. Na przykład bankomat, aplikacja mobilna, bankowość elektroniczna czy podmiot zewnętrzny (TPP) mogą mieć dostęp do tych samych pól informacyjnych klienta, jednocześnie dostosowując odpowiednio format danych pod każdą z tych grup. Warstwa ta (Experience API) pozwala na konfigurowanie danych w taki sposób, jaki jest najłatwiejszy do wykorzystania przez odbiorców. Dzięki temu dostosowanie się do wymogów zawartych w dyrektywie PSD2 jest możliwe i nie wymaga tworzenia nowych odseparowanych integracji punkt-punkt dla każdego kanału.

Dzięki współpracy z największymi firmami i kilkoma czołowymi bankami, które korzystają z Anypoint Platform, MuleSoft opracował zestaw najlepszych praktyk. Pozwalają one na 2-5 razy szybsze uruchamianie nowych inicjatyw, łączenia systemów czy odblokowania danych dla całego przedsiębiorstwa przy jednoczesnej redukcji kosztów integracji o ok. 30%. Rozwiązanie pozwala na ciągłe poszerzanie zakresu usług i stabilny rozwój, a zmiany jakie pojawiają się na rynku bankowym m.in. PSD2 pokazują jak szybko i elastycznie banki muszą sprostać nowym wymaganiom.

Podsumowanie

Dyrektywa PSD2 jest kolejną inicjatywą, która wywiera na bankach presję mając na celu zwiększenie dostępności danych bankowych i tworzenia nowych usług wspierających obsługę klienta. Niezależnie od podejścia tradycyjne banki będą musiały rozwinąć swoje zdolności w kontekście digitalizacji, aby pozostać konkurencyjnymi w docierania do klientów z nowymi ofertami.

Co bardzo istotne, banki także będą mogły przyjmować rolę AISP i PSP. W związku z powyższym instytucje te nie tylko będą ‘dostawcami’ danych i informacji o swoich klientach, ale mogą także być beneficjentem faktu dostępu do tych danych pochodzących ze źródeł zewnętrznych. PSD2 otwiera więc także przed bankami możliwość oferowania klientom zupełnie nowych usług oraz dotarcia ze swoją ofertą poprzez dotąd niewykorzystywane kanały.

Patrząc na zmiany na rynku niewykluczone jest, że za jakiś czas pojawią się kolejne zmiany, które będą po raz kolejny wymagały w instytucjach finansowych dostosowań w kontekście dostępności. Warto już teraz wziąć to pod uwagę.

Nasi eksperci
/ Dzielą się wiedzą

PIM in Marketplace Platform
16.04.2024

Rola systemów PIM na platformach marketplace

E-Commerce

Dobrej jakości, kompletne informacje produktowe pozwalają sprzedawcom w odpowiedni sposób zaprezentować asortyment, a klientom znaleźć dokładnie to, czego szukają. Najpopularniejsze platformy marketplace działają niemalże jak wyszukiwarki, pozwalając konsumentom na zaawansowane filtrowanie ofert za pomocą wielu słów kluczowych i różnych...

11.04.2024

Nowy model cenowy MuleSoft / Niższy próg wejścia 

Integracja systemów

MuleSoft to lider integracji aplikacji i systemów, ułatwiający firmom tworzenie złożonych rozwiązań informatycznych, czerpiącym ze wszystkich dostępnych zasobów informatycznych. Producent oferuje także reużywalne API i konfiguracje umożliwiające proste łączenie zróżnicowanych systemów. Ostatnio MuleSoft wprowadził znaczące zmiany w...

09.04.2024

Recommerce / Znaczenie handlu wtórnego na rynku detalicznym

E-Commerce

W ciągu ostatniego roku lub dwóch recommerce zyskał ogromną popularność. W związku z trudną sytuacją ekonomiczną konsumenci chętnie odsprzedają swoje rzeczy i kupują używane produkty, aby zaoszczędzić pieniądze. To z kolei wpływa na sytuację w sprzedaży bezpośredniej, dodatkowo zachęcając sprzedawców detalicznych do wejścia na rynek...

Ekspercka wiedza
dla Twojego biznesu

Jak widać, przez lata zdobyliśmy ogromną wiedzę - i uwielbiamy się nią dzielić! Porozmawiajmy o tym, jak możemy Ci pomóc.

Napisz do nas

<dialogue.opened>