Мартин Хоус, управляющий инженер по продажам Thales, выступил с докладом на IX Международном ПЛАС-Форуме «Банковское самообслуживание, ритейл и НДО».
На конференции Форума Мартин Хоус рассказал об Open Banking на основе PSD2 и Open API.
Мартин Хоус управляет высококвалифицированной командой инженеров по сбыту, обладающих знаниями и восемнадцатилетним опытом в сфере безопасности. Мартин консультирует специалистов по работе с заказчиками и самих заказчиков по продуктам и их техническим характеристикам. Основное направление деятельности: аппаратные модули обеспечения безопасности (ключевой продукт Thales). Как сертифицированный специалист по обеспечению безопасности информационных систем, Мартин Хоус следит за новыми разработками в сфере безопасности, в особенности за теми, которые связаны с защитой платежей. Основной интерес представляют технологии мобильных платежей, мобильные пункты продажи (mPOS) и Host card emulation (HCE).
Open banking по стандарту PSD2 с использованием Open API
Что такое Open API, какие проблемы решает, как будет выглядеть современный банк, какие будут риски и как их избежать, эти вопросы разбирает Мартин Хоус в своей презентации.
- Open API – это программный интерфейс из набора готовых функций или структур, которые предоставляются приложением или сервисом.
- Открытый интерфейс программирования приложений или Open API — это общедоступный набор программных инструментов, который позволяет наладить взаимодействие между приложениями.
- Преимущества API станет сервисом банка, позволяющим создавать платформы, совместимые с API.
Это даёт возможность разработчикам и третьим сторонам подключиться к банку. Банк также может пользоваться сервисом такого типа для своих операций и бизнеса. Допустим, вам нужна отчетность по всем счетам. Агрегатор собирает их, предлагает аналитику, основанную, например, на покупательских привычках. Благодаря Open Banking всё больший объем данных становится доступным, и на основе используемых и анализируемых данных теперь возможно давать рекомендации клиенту. PSD2 стимулирует эту технологию, целью которой является предоставление лучшего выбора услуг и повышения конкуренции среди их поставщиков.
PSD2
PSD2 – это платёжная директива, которая предполагает, что банки должны открыть доступ к своим системам, в этом и состоит концепция Open Banking – предоставление банковских данных через безопасный и открытый API.
Основные цели директивы: оптимизация рынка платежных услуг, равные условия конкуренции, включая новых участников рынка, повышение защищенности инфраструктуры, защита клиентов, снижение тарифов и комиссий за оказание услуг.
Требования к безопасности PSD2
Строгая аутентификация:
Между клиентом и банком Между TPP (Third Party Payment Service Provider) and ASPSP (Account Servicing Payment Service Provider)
- 2 или более независимых элемента для двухфакторной аутентификации.
- Защита данных
- Безопасное соединение
- Соответствие стандартам обеспечения безопасности, таким как GDPR (защита данных неактивных, передающихся и обрабатывающихся)
- Защищенное хранилище маркеров доступа
- Выпуск сертификатов полномочным органом
Сертификаты eIDAS определяют авторизацию между серверами провайдеров платежных услуг, а не пользователей. eIDAS имеет рекомендательный характер.
Технологии, сопровождающие директиву PSD2
- Банк-эмитент – TLS (Протокол защиты транспортного уровня), HMAC (код аутентификации сообщений, использующий хеш-функции), генератор случайных чисел, шифрование, двухфакторная аутентификация
- Агрегатор / продавец – TLS, шифрование, двухфакторная аутентификация
- Все участники – PKI для сертификатов и подписей, TLS, eIDAS
Возможность использования модулей безопасности (HSM), как в и стандартных системах платежей.
HSM позволяет:
- Людям – установить строгую политику безопасности в отношении
- Процессам – ускоряться и совершенствовать аудит
- Технологиям – использовать криптографический процессор, усиленный, устойчивый к взлому, защищающий ключи и алгоритмы.
Thales payShield 9000 – аппаратный модуль безопасности (HSM) для платежной индустрии. Модуль обеспечивает криптографическую защиту, необходимую для банкоматов, точек оплаты (POS), кредитных и дебетовых карт. Производительность и уровень защиты этого решения соответствуют или превышают требования и стандарты основных платежных систем. Разработанный Thales e-Security специально для платежных приложений, Thales payShield 9000 обеспечивает защиту PIN-кодов, транзакций, процессов выпуска платежных карт и ключей шифрования. payShield 9000 – самый популярный в мире модуль защиты платежных систем, с его помощью осуществляется более 80% от мирового объема транзакций по платежным картам.
Подробное описание модуля вы можете прочитать ТУТ .
Мы будем рады проконсультировать вас по телефону в Москве: +7 (495) 120-60-90 или по e-mail: info@dnadis.ru