在7月初,臺灣開放銀行發展邁開了最重要的第一步。金管會公布了銀行開放API的三階段作法,而財金資訊公司更首度公布了銀行Open API標準的第一個版本。

API串接服務,對各家銀行不是甚麼新鮮事。各家銀行早透過多種Web Services或API與第三方業者串聯,交換資料,甚至也有幾家銀行過去1、2年也推出了自家Open API平臺,例如凱基銀行、第一銀行或中國信託等,都開始將自家部分(少數)金融服務轉為可對外提供的API,可以內嵌到網路業者、第三方App、Fintech業者的應用中。

但是,財金公司這次公布的Open API標準的意義格外不同,目標是要成為臺灣所有金融機構要共通遵守的API設計標準,包括了技術標準和資安標準兩個面向的規範。

如此一來,過去由各銀行、金融機構自行定義的API,第三方業者或金融科技新創,想要串連這些金融機構,得一家一家串接,針對每一家API來客製程式。但,現在有了這套標準作法,甚至有「共通」和「互通」的規範。只要一套作法,就可以通用於所有支援的金融機構。甚至,不只是銀行,未來保險、證券都可以遵循同一套規範,來形成一個開放API和開放應用的市集。

金管會的計畫是分三階段來開放API,第一階段是「公開資料查詢」API,以非交易面的金融產品為主,例如房貸利率,目前已盤點了超過70種可公開的資料類型。

第二階段則會開放「消費者資訊查詢」API,不過,金管會要求,這些API需要先獲得用戶授權後,第三方業者才能進行資料整合。第三階段則更進一步從資料查詢,進入了「交易面資訊」API,在客戶同意下進行交易與支付的行為,例如可直接透過第三方業者的App連結帳戶扣款、支付、調整或撥付帳戶資金。

目前公布的Open API標準,是關於第一階段「公開資料查詢」API的規範,屬於低風險資料的規範而以。財金公司也強調,日後隨著第二、第三階段資料的敏感性越高,相對應的資安要求或技術標準也會提高。

簡單來看,技術面的Open API規範主要有兩項,一是參考國際標準Open API Specification(OAS),遵循OAS規範的RESTful APIs定義,這可以讓臺灣這套Open API介接國際,甚至國外第三方業者都可以來用,其次是採用RESTful風格設計API和Web設計慣用的JSON資料格式。

資安要求上,目前先有5項共通規範,必備欄位格式檢查、採用TLS 1.2以上加密通訊協定、白名單表列HTTP請求、預防DDoS攻擊的連線限制和逾時中斷,以及必須使用HTTPS安全傳輸協議等連線加密。

而財金公司則提供了一個API市集,初步可供所有金融業者測試自家API與Open API標準的相容性,長期則可供無法自行建置API平臺的中小型金融業者,在這個市集平臺上,上架自家的API。但大型銀行或金融機構多半還是會自行提供自己的API平臺,只需遵守同一套Open API標準即可。這也成為銀行CIO們的新考驗,過去封閉的銀行,未來也要像網路公司、科技公司一樣,對外提供一套API服務平臺。

儘管金管會沒有「強制」銀行必須開放,而是「志願」開放,但是Open API的影響是雙向的,不單只有銀行資料往外流動,銀行也可能因此而獲得來自第三方業者回饋的資料或顧客情報,而彌補了自家資料了解顧客行為的盲點,甚至可以成為互通有無的新金融科技生態系。Open API正是那把解開銀行圈數據力的關鍵鑰匙。

作者簡介


Advertisement

更多 iThome相關內容