財金公司揭露放銀行第二階段消費者資訊查詢,所規劃的業務架構。(圖片來源/政大金融科技研究中心線上直播)

金管會主委黃天牧日前宣布臺灣開放銀行(Open Banking)第二階段將在今年第3季上路,並先採取試辦模式。而在5月26日一場線上活動中,負責TSP媒合的政大,以及負責制定Open API技術與資安標準的財金公司,共同揭露開放銀行第二階段最新進程與規劃。

政大金融科技研究中心主任王儷玲在說明會表示,開放銀行第二階段的開放將是我國開放銀行建立健全體制的關鍵時刻。許多的技術、資安與法遵規範都必須在這階段建置完成,臺灣的開放銀行才能持續往前邁進。

王儷玲還提到,該階段包括了建立技術合規標準、API共同驗證測試標準、資安風控技術認證、提供合格雲端資安合規環境、後續資安與法遵合規稽核查驗、爭議處理與責任歸屬、資安保險等機制。

相較於開放銀行第一階段是開放公開的非交易面金融資訊為主,第二階段開放的消費者資訊,是以個人金融資訊以及低風險金融申請服務為主,可查詢帳戶與簡易信用卡服務。王儷玲表示,該階段共有18支API,應用項目分為存款、貸款、其他銀行服務。應用情景像是帳戶餘額查詢、帳戶整合、信用卡比價、貸款比價、投資理財推薦、信用卡設定等。

甚至,到未來第三階段要開放的交易面資訊,目前規劃是以消費者支付、交易功能為主,應用情境像是信用卡點數使用、代收代付等。

不過,她提到,銀行對於把資料開放出去有所疑慮,加上營運標準難達成,以及連線標準門檻高,還有雙方獲利模式不明,都是開放銀行推行阻礙。為此,政大在上個月的說明會,提到要為TSP合規提供輔導,讓TSP先符合銀行在資安與法遵的各種要求,再來與銀行談業務上的合作。

第二階段開放那些消費者資訊查詢?API應用項目首度公開

財金公司企劃部專案經理時薇茜則在說明會揭露開放API現行業務推動進程,與第二階段消費者資訊查詢規劃,以及API應用項目。

她提到,財金公司在去年底已完成第二階段消費者資訊查詢技術與資安標準制定。今年,要進行第二階段技術與資安標準的核備,並且,協助銀行就核定版的技術與資安標準,進行業務申請試辦。

此外,今年財金也會持續觀察國際間如英國、澳洲、香港、新加坡等國的發展情勢,蒐集金融機構、產業界與學界需求與意見,再配合主管機關的核定時程,來訂定第三階段交易面資訊的標準,並滾動式增訂技術規格與完備資安規範。

根據銀行公會自律規範修訂重點,第二階段消費者資訊查詢,新增提供金融往來資訊以及申請金融產品與服務。時薇茜解釋,金融往來資訊是指消費者基本資料與銀行間往來的金融帳戶與產品相關資料,比如帳戶餘額查詢、信用卡交易資訊、金融往來歷史交易記錄資訊。另一個則是消費者向銀行申請金融產品與服務,像是存款帳戶開戶申請、信用卡申請、信用卡附加功能申請、電子帳單申請及取消等。

自律規範提到,金融機構與TSP業者雙方的合作需簽訂合作契約。而TSP與金融機構透過財金開放API平臺進行訊息傳輸,則會由TSP業者簽訂平臺使用規範聲明書,算是合作契約的附件,在申請上線時,則由金融機構代為交付。

自律規範也規定,金融機構需取得消費者事前同意,就能提供消費者資料給TSP業者,並須留存相關記錄。時薇茜進一步提到,在流程上,TSP要協助使用者去金融機構獲取金融往來資訊前,得先以業者身份獲取使用者服務需求與同意,使用者在這架構下,再導頁到金融機構進行OAuth身份認證與資料授權。

財金公司提到,去年底,銀行公會制定的自律規範,以及財金訂定的技術與資安標準都已函報給金管會。金管會上半年仍在進行資料整合與審查作業,她透露,金管會近期可能就會以現行自律規範與技術與資安標準有一個核定,或者是有修訂建議會提供公會或財金。

時薇茜提到,今年下半,金融機構可與合作的TSP業者,針對現行核備的自律規範與技術與資安標準,來提報金融機構業務申請試辦,試辦內容可依據金融創新試辦要點來進行。然而,因第二階段涉及使用者個人金融往來資訊,很直接影響到消費者權益,參考國際間趨勢,且為了謹慎與穩健辦理業務,所以會透過金融機構用業務試辦方式,進行第二階段自律規範、技術與資安標準的實證,後續再將實證結果報給主管機關參考。

有別於第一階段參與的TSP業者多為FinTech新創,財金公司指出,未來與銀行跨域合作的TSP業者,不管是科技新創、電商業者、電信業者,甚至是其他金融機構,只要符合共通的業務與技術規範及資安標準框架這個前提,都能與金融機構合作拓展開放銀行場域,實踐金融服務多樣性。

財金公司更首度揭露第二階段API應用項目,共分為存款、貸款、其他銀行服務3大類,共有18支API,比如貸款類就開放了10支API,像是申請信用卡道路救援、申請信用卡本期帳單分期、查詢信用卡當期帳單資訊、查詢信用卡帳單交易明細等。不過,財金強調,這些未來都會滾動式調整修訂。

第二階段三大技術要求重點:訊息處理、憑證作業和認證機制

在這場線上會議中,財金公司研發部組長洪國峻也針對開放API第二階段測試驗證進行說明,從中可以進一步看到未來第二階段在金融機構與TSP之間的技術運作方式,主要有三大重點,訊息處理、憑證作業和認證機制的要求。

在訊息處理部分,因應各金融機構OAuth處理機制不同,同時為簡化連線方式,OAuth訊息由TSP業者直連金融機構。而API訊息則由TSP業者介接財金後,再由財金轉接金融機構。

在憑證作業部份,銀行、TSP、財金端皆採用TLS雙向認證,而雙向認證會用通訊憑證辦理。所以,當TSP與金融機構簽署合作並完成註冊時,金融機構將先取得TSP通訊憑證。而金融機構API訊息如果是經由財金介接,則須提供銀行通訊憑證與先前取得的TSP通訊憑證給財金,做雙向憑證設定。接下來,財金將提供財金的通訊憑證給金融機構,金融機構再將財金通訊憑證交付給TSP業者。

而根據安控作業規範,在認證機制上,TSP業者的代理存取端與金融機構的資源伺服器或授權伺服器間,應建立認證機制。要遵循TLS雙向認證或是以簽章的JSON Web Token(JWT)作認證,採用憑證者,則要驗證憑證與憑證的正確性與有效性。另一個是,要用事先設定的來源網路位置(IP)正面表列管制。

洪國峻提到,為了因應這兩點措施,財金公司在技術標準規劃,如果TSP直接介接金融機構,金融機構則依現行作法因應即可。但如果TSP由財金公司轉接金融機構,將採TLS雙向認證方式,財金在API訊息結構Http Header中,將提供TSP業者資訊提供給金融機構辦理認證作業,包括憑證序號、發證單位、來源IP,這三個欄位則分別放在X-CSN、X-ISR、X-CIP,金融機構收到這三個欄位,就可以遵循安控作業規範去做事前認證。

為了確保提供API的銀行,以及介接的TSP雙方技術設計都能符合規範,財金也設計了兩階段測試驗證。包括金融機構測試,以及TSP與金融機構測試,前項測試包含訊息收送、加解密處理;而TSP與金融機構間的測試,除了訊息收送、加解密處理,還多了一個認證授權(OAuth)。

洪國峻進一步解釋,在金融機構測試部分,主要是要驗證金融機構第二階段技術標準的API訊息實作完成度,由財金公司依據測試範圍驗證金融機構API訊息。他表示,測試範圍包括查詢臺外幣活存存款帳戶餘額、查詢臺外幣活存存款帳戶交易明細資訊這2項存款類的API,金融機構要在測試前提供Access Token供財金公司後續辦理測試。

而財金公司與銀行端都需實作TLS雙向認證。所以,金融機構在測試前須交付API yaml檔與銀行通訊憑證給財金,財金則要交付自家的通訊憑證,提供銀行設定雙向認證。接下來,財金就會辦理API上架。

在TSP與金融機構測試這階段,則是要驗證TSP與金融機構在第二階段技術標準的實作整合性,由TSP業者與金融機構依據業務規劃進行相關測試,財金公司則會在測試過程中協助排除雙方遭遇的問題。

洪國峻表示,該階段目前規劃兩大類測試範圍,一類是認證授權,共有4支API需實作,包括認證授權、取得存取代碼、取消存取代碼、檢核存取代碼。另一類測試,則依照金融機構在第二階段要提供的業務範圍進行測試,這部分則由金融機構自選。文⊙李靜宜


Advertisement

更多 iThome相關內容