Slovak Banking API Standard Pohľad bánk na PSD2 a API€¦ · Slovenská banková asociácia –...
Transcript of Slovak Banking API Standard Pohľad bánk na PSD2 a API€¦ · Slovenská banková asociácia –...
Milena Koreňová
•
•
•
•
•
•
Marcel Laznia
•
•
•
•
•
•
•
Peter Kopriva
TPP ASPSP
TLS 1.2+ (AEAD)eIDAS authentication certificate
(ETSI 119 495)
EV certificate, eIDAS QWAC a QSeal(in transition preriod)
•
•
•
•
•
•
•
•
•
•
Decompositioned Requarement transactionDecompositioned Requarement transaction
Decompositioned Requarement transaction
$
Bank
Bank Client
PISP/AISP/CPISP
Participant Contracting phase
Account information - AISP
Specific account information service provider
Correct
Respons to AISP
Processing phase
Service Information
MsgYou was asked
Push Notification
Client wish list
Banking FE appWish list
Contract
Special settingsOn the
Client AccountGateway
Request to register/Corporate contract
Research
No InfoRequest
Submited
Exist Corporatecontract
Submited Is Tpp in evidence
Yes
No
No CorrectPISP/AISP
YESCorporate
No
TP
P
Correct
Not Correct
PKI Approval
PKI OK
CertAuthority
PKI Certificate
Explicit consent
LicNum
PK
PKI NO
White listClient Contract
Cli
en
t C
on
tra
ct
Manage formatsAnd decomposition
To requestsNot Correct
Manage RulesFor single requestFraud detection
Ack Client For yes
Bank Client YES/NO
Ye
s/N
o
Exist Explicit consent?
NoNo
Client gen. Yes/NoBased WL or Rules
Yes
CertificationAuthority
CertAuthority
PKI Approval PKI NO
PKI OK
Msg
to
th
e C
lie
nt
Collect AnswFor Provider
Collect AnswFor Client
TRN for AISP - AISP
PO - PISPFounds availability Y/N - PISP
List of CA
Accepted CA
DataHub
Service is a preparation process for processing of
one request on one account in one of 4 types
NBS Register(EBA Register)
DataHub
New DataHub technologyFast processing
Fast savingFast Decomposition and composition of Files
Corporat ClientBanking API
Based PSD2 API
NO
PKI Certificate
PK
ContactWho are you
CertAuthority
PKI Approval
Start
Martin Špaček
Authoriz. serverTPP (AISP)PSU Bank API
1 : start
Identification and authorization according to RFC 6749 sec. 4.1 step B
2: /authorize
1.1: redirect to Authors. server
2.1: redirect with authorization code
2.1.1: authorization code 2.1.1.1: /token
2.1.1.1.2: access and refresh token
2.1.1.1.1: verify certificate
3: /token (grant_type=refresh_token)
3.1: access and refresh token
[expired access token]alt
Authoriz. serverTPP (AISP)PSU Bank API
loop
opt.4: account list request
4.3: response
4.1: /api/v1/accounts
4.2: response
5: account information request
5.3: response
5.1: /api/v1/accounts /information
5.2: response
6: account transaction request
6.3: response
6.1: /api/v1/accounts /transactions
6.2: response
Authoriz. serverTPP (PISP)PSU Bank API
1: /token
1.1: access token
[client credential grant]
alt 1 - One time payment (Pure PISP)
2: /token
1.1: access and refresh token
[authorization code grant]
alt 2 - Mixed AISP/PISP approach
Authoriz. serverTPP (PISP)PSU Bank API
3 : payment initialisation
Identification and authorization according to RFC 6749 sec. 4.1 step B
3.3: redirect to Auth. Server, orderID
4.1: authorization code
4.1.1: authorization code 4.1.1.1: /token
4.1.1.1.2: access token
4.1.1.1.1: verify certificate
4: /authorize with orderId
3.1: /api/payments/[standard/ecomm]/[iso/sba]
3.2: response with orderId
4.1.1.2: /api/payments/submission
4.1.1.3: response
Authoriz. serverTPP (PISP)PSU Bank API
5: /api/v1/payment/orderId/status
5.1: response
Payment order status request
API endpoint Metóda Charakter Popis
Authoriz. serverTPP (PIISP)PSU Bank API
1: /token
1.1: access token
[client credential grant]
alt 1 – paper consent registration
2: /token
1.1: access and refresh token
[authorization code grant]
alt 2 – electronic consent registration
Authoriz. serverTPP (PIISP)PSU Bank API
4: /api/v1/account/balanceCheck
4.1: responce
Marcel Laznia
Ďakujeme
Slovenská banková asociácia – Mýtna 48, 811 08 Bratislava - [email protected] - +421 / 2 / 57 205 301 - www.sbaonline.sk
Príloha: Technické východiská SBAS
Transport protocols TLS1.2+, HTTP
Applicative protocol REST
Authorization protocol OAuth 2.0 (client credential grant, authorization code grant)
Authentication methods: Based on re-direct
Character set UTF-8
Data structure JSON (XML in the payment initiation services)
Data model origin ISO 20022 is preferable used for attributes name
Character case convention lowerCamelCase
•
•
Európsky orgán dohľadu pre bankovníctvo (ďalej len „EBA“) v spolupráci s príslušnými zainteresovanými stranami a Európskom centrálnou bankou (ďalej len „ECB“) vydal tieto vykonávacie predpisy:
6. Usmernenia o požiadavkách na vykazovanie podvodov podľa článku 96 ods. 6 smernice (EÚ) 2015/2366 (PDS2). Usmernenia o oznamovaní podvodov, ktoré sa vydávajú v súlade s článkom
96 ods. 6 smernice PSD2. Členským štátom z tohto usmernenia vyplýva povinnosť zabezpečiť, aby poskytovatelia platobných služieb poskytovali svojim príslušným orgánom aspoň raz ročne
štatistické údaje o podvodoch súvisiacich s rôznymi platobnými prostriedkami. Uvedené štatistické údaje následne poskytne NBS orgánu EBA a ECB. Ešte nevydaný materiál
7. Regulačný technický predpis (ďalej aj „RTS“) o silnej autentifikácii a bezpečnej komunikácii. RTS ustanovujúce požiadavky na silnú autentifikáciu zákazníka a požiadavky na spoločné a
bezpečné otvorené komunikačné normy podľa článku 98 smernice PSD2. RTS je kľúčovým dokumentom pre dosiahnutie účelu PSD2, ktorým je zlepšenie ochrany spotrebiteľa, podpora
inovácií a zvýšenie bezpečnosti poskytovania platobných služieb v rámci Európskej únie. RTS boli schválené Európskou komisiou dňa 27. 11. 2017
8. Regulačný technický štandard určujúci vhodné kritéria na zriadenie a funkcie centrálneho kontaktného miesta podľa článku 29 ods. 4 podľa smernice (EÚ) 2015/2366. Ustanovenia RTS
obsahujú kritériá, ktoré sa majú uplatniť pri určovaní okolností, za ktorých je stanovenie ústredného kontaktného bodu vhodné, ako aj funkcií týchto kontaktných bodov podľa článku 29 ods. 4
smernice PSD2. Taktiež sa predpisom upravujú kritériá, pri splnení ktorých budú členské štáty vyžadovať od zahraničných platobných inštitúcií, ktoré poskytujú na ich území platobné služby
prostredníctvom agentov na základe práva usadiť sa, zriadenie centrálneho kontaktného bodu
9. Regulačný technický štandard ukladajúci technické požiadavky na vytvorenie, fungovanie a zriadenie elektronického centrálneho registra a na vstup obsahujúcich informácii podľa článku 15
ods. 4 smernice (EÚ) 2015/2366 a Implementujúci technický štandard (ďalej len „ITS“) o podrobnostiach a štruktúre informácii zadávanými príslušnými orgánmi v ich verejných registroch podľa
článku 15 ods. 5 smernice 2015/2366 (PSD2). V RTS sa stanovujú technické požiadavky týkajúce sa vytvorenia, prevádzky a údržby elektronického centrálneho registra a prístupu k údajom,
ktoré obsahuje podľa článku 15 ods. 4 smernice PSD2, a ITS upravuje podrobnosti a štruktúru údajov, ktoré majú príslušné orgány uvádzať vo svojich verejných registroch, a oznamovať EBA
podľa článku 15 ods. 5 smernice PSD2.
10. Regulačný technický štandard o spolupráci medzi príslušnými orgánmi domovského a hostiteľského členského štátu o dohľade nad výkonom činností platobných inštitúcií poskytujúcich služby
cezhranične podľa článku 29 ods. 6 Smernice PSD2. V RTS sa vymedzuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi domovského členského štátu a hostiteľského
členského štátu.
11. Regulačné technické štandardy o spolupráci a výmene informácií medzi príslušnými orgánmi, týkajúce sa oznamovania cezhraničného poskytovania služieb platobnými inštitúciami.
Delegovaným nariadením sa ustanovuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi pri oznamovaní platobných inštitúcií, ktoré vykonávajú svoju činnosť cezhranične
podľa článku 28 ods. 5 smernice PSD2.