|
台灣金管会主委黄天牧日前颁布發表台灣開放银行(Open Banking)第二阶段将在本年第3季上路,并先采纳试辦模式。而在5月26日一场线上勾當中,卖力TSP媒合的政大,和卖力制订Open API技能與信息平安尺度的财金公司,配合揭穿開放银行第二阶段最新過程與计划。
政大金融科技钻研中间主任王俪玲在阐明会暗示,開放银行第二阶段的開放将是台灣開放银行创建健全部制的關头時刻。很多的技能、信息平安與法令规范都必需在這阶段建置完成,台灣的開放银行才能延续往前迈進。
王俪玲還提到,该阶段包含了创建技能合规尺度、API配合验證测试尺度、信息平安風控技能認證、供给及格云端信息平安合规情况、後续信息平安與法令合规考核检验、争议处置與责任归属、信息平安保险等機制。
相较于開放银行第一阶段是開放公然的非买卖面金融信息為主,第二阶段開放的消费者信息,因此小我金融信息和低危害金融申请辦事為主,可盘问帐户與简略单纯信誉卡辦事。王俪玲暗示,该阶段共有18支API,利用项目分為存款、貸款、其他银行辦事。利用情形像是帐户余额盘问、帐户整合、信誉卡比价、貸款比价、投資理财举荐、信誉卡设定等。
乃至,到将来第三阶段要開放的买卖面信息,今朝计划因此消费者付出、买卖功效為主,利用场景像是信誉卡点数利用、代收代付等。
不外,她提到,银行對付把資料開放出去有所疑虑,加之营运尺度难告竣,和连线尺度门坎高,另有两邊赢利模式不明,都是開放银行推广阻碍。為此,政大在上個月的阐明会,提到要為TSP合规供给教导,讓TSP先合适银行在信息平安與法令的各类请求,再来與银行谈营业上的互助。
第二阶段開放哪些消费者信息盘问?API利用项目首度公然
财金公司企划部專案司理時薇茜则在阐明会揭穿開放API現行营业鞭策過程,掉髮治療方法,與第二阶段消费者信息盘问计划,和API利用项目。
她提到,财金公司在去年末已完成第二阶段消费者信息盘问技能與信息平安尺度制订。本年,要举行第二阶段技能與信息平安尺度的核备,而且,协助银行就审定版的技能與信息平安尺度,举行营业申请试辦。
别的,本年财金也会延续察看如英國、澳洲、香港、新加坡等的成长形式,采集金融機構、财产界與學界需求與定见,再共同主管構造的核按時程,来拟订第三阶段买卖面信息的尺度,并转動式增订技能规格與完整信息平安规范。
按照银行公会自律规范修订重点,第二阶段消费者信息盘问,新增供给金融来往信息和申请金融产物與辦事。時薇茜诠释,金融来往信息是指消费者根基資料與银行间来往的金融帐户與产物相干資料,好比帐余额盘问、信誉卡买卖信息、金融来往汗青买卖记实信息。另外一個则是消费者向银行申请金融产物與辦事,像是存款帐户開户申请、信誉卡申请、信誉卡附加功效申请、電子帐单申请及取缔等。
自律规范提到,金融機構與TSP业者两邊的互助需签定互助左券。而TSP與金融機構經由過程财金開放API平台举行信息傳输,则会由TSP业者签定平台利用规范声明书,算是互助左券的附件,在申请上线時,则由金融機構代為交付。
自律规范也划定,金融機構需获得消费者事先赞成,就可以供给消费者資料给TSP业者,并须保存相干记实。時薇茜進一步提到,在流程上,TSP要协助利用者去金融機構获得金融来往信息前,得先以业者身份获得利用者辦事需求與赞成,利用者在這架構下,再hoya,导页到金融機構举行OAuth身份認證與資料授权。
财金公司提到,去年末,银行公会制订的自律规范,和财金拟订的技能與信息平安尺度都已函报给金管会。金管会上半年仍在举行資料整合與审查功课,她流露,金管会近期可能就会以現行自律规范與技能與信息平安尺度有一個审定,或是有修订建议会供给公会或财金。
時薇茜提到,本年下半,金融機構可與互助的TSP业者,针對現行核备的自律规范與技能與信息平安尺度,来提报金融機構营业申请试辦,试辦内容可根据金融立异试辦要点来举行。但是,因第二阶段触及利用者小我金融来往信息,很直接影响到消费者权柄,参考國际间趋向,且為了谨严與稳健打点营业,以是会透過金融機構用营业试辦方法,举行第二阶段自律规范、技能與信息平安尺度的实證,後续再将实證成果报给主管構造参考。
有别于第一阶段介入的TSP业者多為FinTech新创,财金公司指出,将来與银行跨域互助的TSP业者,不论是科技新创、電贸易者、電信业者,乃至是其他金融機構,只要合适共通的营业與技能规范及信息平安尺度框架這個条件,都能與金融機構互助拓開展放银行场域,实践金融辦事多样性。
财金公司更首度揭穿第二阶段API利用项目,共分為存款、貸款、其他银行辦事3大类,共有18支API,好比貸款类就開放了10支API,像是申请信誉卡门路救济、申请信誉卡本期帐单分期、盘问信誉卡當期帐单信息、盘问信誉卡帐单买卖明细等。不外,财金夸大,這些将来城市转動式调解修订。
第二阶段三大技能请求重点:信息处置、凭證功课和認證機制
在這场线上集会中,财金公司研發部组长洪國峻也针對開放API第二阶段测实验證举行阐明,從中可以進一步看到将来第二阶段在金融機構與TSP之间的技能运作方法,重要有三大重点,信息处置、凭證功课和認證機制的请求。
在信息处置部门,因应各金融機構OAuth处置機制分歧,同時為简化连线方法,OAuth信息由TSP业者直连金融機構。而API信息则由TSP业者介接财金後,再由财金转接金融機構。
在凭證功课部分,银行、TSP、财金端皆采纳TLS雙向認證,而雙向認證会用通信凭證打点。以是,當TSP與金融機構签订互助并完成注册時,金融機構将先获得TSP通信凭證。而金融機構API信息若是是經過财金介接,则须供给银行通信凭證與先前获得的TSP通信凭證给财金,做雙向凭證设定。接下来,财金将供给财金的通信凭證给金融機構,金融機構再将财金通信凭證交付给TSP业者。
而按照安控功课规范,在認證機制上,TSP业者的代辦署理存取端與金融機構的資本伺服器或授权伺服器间,应创建認證機制。要遵守TLS雙向認證或因此签章的JSON Web Token(JWT)作認證,采纳凭證者,则要验證凭證與凭證的准确性與有用性。另外一個是,要用事前设定的来历收集位置(IP)正面表列管束。
洪國峻提到,為了因应這两点辦法,财金公司在技能尺度计划,若是TSP直接介接金融機構,金融機構则依現行作法因应便可。但若TSP由财金公司转接金融機構,将采TLS雙向認證方法,财金在API信息布局Http Header中,将供给TSP业者信息提供应金融機構打点認證功课,包含凭證序号、發證单元、来历IP,這三個栏位则别离放在X-CSN、X-ISR、X-CIP,金融機構收到這三個栏位,便可以遵守安控功课规范去做事先認證。
為了确保供给API的银行,和介接的TSP两邊技能设计都能合适规范,财金也设计了两阶段测实验證。包含金融機構移動櫃,测试,和TSP與金融機構测试,前项测试包括信息收送、加解密处置;而TSP與金融機構间的测试,除信息收送、加解密处置,還多了一個認證授权(OAuth)。
洪國峻進一步诠释,在金融機構测试部门,主如果要验證金融機構第二阶段技能尺度的API信息实作完成度,由财金公司根据测试范畴验證金融機構API信息。他暗示,测试范畴包含盘问台外币活存存款帐户余额、盘问台外币活存存款帐户买卖明细信息這2项存款类的API,金融機構要在测试条件供Access Token供财金公司後续打点测试。
而财金公司與银行端都需实作TLS雙向認證。以是,金融機構在测试前须交付API yaml档與银行通信凭證给财金,财金则要交付自家的通信凭證,供给银行设定雙向認證。接下来,财金就会打点API上架。
在TSP與金融機構测试這阶段,则是要验證TSP與金融機構在第二阶段技能尺度的实作整合性,由TSP业者與金融機構根据营业计划举行相干测试,财金公司则会在测试進程中协助解除两邊遭受的问题。
洪國峻暗示,该阶段今朝计划两大类测试范畴,一类是認證授权,共有4支API需实作,包含認證授权、获得存代替码、取缔存代替码、检点存代替码。另外一类测试,则按照金融機構在第二阶段要供给的营业范畴举行测试,這部门则由金融機構自選。 |
|