API (Application Programming Interface, sovellusohjelmointirajapinta) on joukko toimintoja ja menettelyjä, joiden avulla kaksi sovellusta voi keskustella keskenään lähettämällä pyyntöjä ja vastaanottamalla vastauksia.
Avoimen pankkitoiminnan sovellusliittymät
API:t ovat tärkeitä rahoituksen ja kassanhallinnan ammattilaisille seuraavista syistä Avoin pankkitoiminta ja PSD2 (maksupalveludirektiivi 2).
Avoin pankkitoiminta edellyttää, että pankkien on annettava API-rajapintansa yksityishenkilöiden ja kolmansien osapuolten käyttöön, jotta nämä voivat käyttää henkilökohtaisia rahoitustietoja turvallisesti. PSD2:n mukaan lähes kaikkien EU:n pankkien on mahdollistettava pääsy asiakastietoihin sovellusrajapintojen kautta.
Todellinen kysymys on siis: kuinka turvallisia API:t ovat taloustietojesi välittämisessä ja jakamisessa?
Viime aikoihin asti pankit ovat tyypillisesti luoneet taloudellisia siiloja ja pakottaneet asiakkaat turvautumaan pankkien palveluihin, jotta he voivat käyttää taloudellisia tietojaan turvallisesti. API:t ja avoin pankkitoiminta ovat kuitenkin muuttamassa tätä kaikkea.
Rikkaan sovellusrajapinnan avulla rahoituslaitokset voivat saada kilpailuetua ja antaa asiakkaidensa hallita talouttaan tarjoamalla reaaliaikaisia ja turvallisia tietoja.
On paljon esimerkkejä siitä, miten yritykset ja kuluttajat ovat jo ottaneet API:t käyttöön helpottaakseen elämää:
Yritykset
Digitaalinen muutos on yritysten asialistan kärjessä kaikkialla maailmassa, ja sovellusrajapinnat voivat tarjota useita etuja yritysten rahastonhoitajille. API:t avaavat pienemmille varainhoitotiimeille kehittyneitä tekniikoita, jotka olivat aiemmin vain suurten yritysten käytettävissä, mikä mahdollistaa reaaliaikaisen liiketoiminnan, nopeamman päätöksenteon ja paremman asiakaskokemuksen.
API:t voivat tarjota yrityksille suorat pankkiyhteydet pankkeihin toiminnanohjausjärjestelmistä (ERP-järjestelmistä) tai suorien tietoyhteyksien kautta liiketoimintatietotyökalujen kanssa.
Kuluttajat
Kuluttajille sovellusrajapinnat tarjoavat nopeutta ja yksinkertaisuutta parempien rahoituskokemusten luomiseksi.
Yolt on täydellinen esimerkki kuluttajapohjaisesta Open Banking -palvelusta käytännössä, sillä se käyttää sovellusrajapintoja eri tilien keskittämiseen ja auttaa käyttäjiä pitämään kulutustottumuksiaan tarkemmin silmällä.
Mitkä ovat riskit?
Avoimien sovellusrajapintojen käyttöönotto tekee pankit riippuvaisiksi näitä sovellusrajapintoja käyttävien kolmansien osapuolten (TPP) turvallisuudesta, mikä herättää muutamia kysymyksiä tai huolenaiheita pankeissa ja palvelujen käyttäjissä:
- Kun yhä useammat kuluttajat käyttävät kolmannen osapuolen työkaluja, pankkien omistamien kanavien kautta suoritettavien maksutapahtumien määrä vähenee. Tämä vaikuttaa kielteisesti pankkien keräämään tietomäärään, jonka avulla ne voivat erottaa lailliset ja vilpilliset maksutapahtumat toisistaan.
- Uudet avoimen pankkitoiminnan välineet tasoittavat tietä uudenlaisille liiketoimille, joita voi vaikeuttaa maksupetosten torjuntaa entisestään.
- Petoksentekijät voivat kohdistaa hyökkäyksensä tietoihin, kun niitä siirretään sovellusrajapintojen kautta. Onnistuessaan luvattomia asiakastietoja voitaisiin käyttää tilin haltuunotossa (ATO) tai muussa verkkohyökkäyksessä.
- Pankit ovat vuorovaikutuksessa TPP:iden kanssa ymmärtämättä täysin niiden turvatoimia, mikä aiheuttaa uuden riskin siitä, missä tietoja lopulta säilytetään. Tämän seurauksena pankit voivat altistua sadoille uusille uhkille, jotka eivät kuulu niiden normaaliin valvontaan.
- Jos TPP on vaarantunut, hakkerit voivat lähettää pankeille pyyntöjä, jotka näyttävät valtuutetuilta. Huijaukset ovat yhä kehittyneempiä, joten ei kestä kauan ennen kuin joku keksii keinon väärentää asiakkaan suostumusta.
"API:t tarjoavat verkkorikollisille toisen tavan hyökätä... jos en voi hyökätä pankkien etuoviin, voin ehkä esiintyä pienenä kehittäjänä ja löytää vaihtoehtoisen sivuoven, josta pääsen silti pankkiin, tavalla tai toisella." Sumit Agarwal, Shape Security
Miten sovellusrajapinnat on suojattu?
Näistä huolenaiheista huolimatta hyvin suunniteltu sovellusrajapinta tarjoaa turvallisen yhteyden kolmannen osapuolen sovelluksiin.
On tärkeää muistaa, että pankit itse rakentavat ja testaavat API-päätteensä.
Pankit voivat siis itse pienentää hyökkäysriskiä ottamalla käyttöön järkevän arkkitehtuurin, jossa turvallisuusvaatimukset ja -työkalut on sisällytetty itse sovellusrajapintaan. Näin pankit voivat viime kädessä toimia ennakoivasti eikä vain reaktiivisesti API:iden suojaamisessa.
TPP:t ovat pitkälle säänneltyjä
Ensimmäinen asia, joka on syytä muistaa, on se, että sovellusrajapinnat perustuvat käyttöoikeuksiin. Olitpa sitten kuluttaja tai yritys, sinun ei tarvitse jakaa tietojasi TPP:n kanssa, jos et halua.
Tämä on avoimen pankkitoiminnan sovellusrajapintojen ydin. Sääntöjen mukaan pankkien on sallittava tietojesi jakaminen TPP:iden kanssa, mutta AINOASTAAN, jos annat siihen luvan. Tämä tarkoittaa, että TPP:t eivät voi käyttää tilejä vapaasti, vaan niiden on saatava suostumuksesi, jonka voit peruuttaa milloin tahansa.
TPP-yrityksiin sovelletaan myös tietosuojaa koskevia lakeja, kuten GDPR:ää, sekä PSD2-sääntelyyn liittyviä teknisiä standardeja, mikä tarkoittaa, että ne ovat vastuussa käsittelemiensä henkilötietojen suojaamisesta.
Mitä ovat AISP:t ja PISP:t?
EU:n maksupalveludirektiivin (PSD2) käyttöönoton jälkeen verkkopalveluja, jotka käyttävät sovellusrajapintoja tilitietojesi käyttämiseen tai maksujen suorittamiseen puolestasi, säännellään nyt Financial Conduct Authority.
Jotta rahoituspalveluntarjoaja saisi PSD2:n kautta täyden luvan käyttää avoimia pankkiyhteysrajapintoja, sen on rekisteröidyttävä joko AISP:ksi, PISP:ksi tai molemmiksi.
Valtuutettu tilitietopalvelun tarjoaja (AISP) voi pyytää lupaa muodostaa yhteys pankkitiliin ja käyttää tilitietoja palvelun tarjoamiseen. AISP:llä on lupa käyttää pankkitilitietoja "vain lukuoikeudella", eli se voi katsoa, mutta ei koskea niihin.
Yleisiä esimerkkejä AISP-palveluista ovat hintavertailut, luottotietojen tarkistaminen, Yoltin kaltaiset rahansäästösovellukset ja kirjanpitopaketit, kuten Sage ja QuickBooks yrityksille.
Valtuutetut maksujenvälityspalveluntarjoajat (PISP) voivat pyytää lupaa muodostaa yhteys pankkitiliin ja käynnistää maksuja asiakkaan pankkitililtä tämän puolesta.
PSD2-säännöissä todetaan kuitenkin selvästi, että maksupalveluntarjoajat "eivät saa käyttää, käyttää tai tallentaa tietoja muihin tarkoituksiin kuin maksajan nimenomaisesti pyytämän maksunvälityspalvelun tarjoamiseen".
Yleisiä esimerkkejä kuluttajapohjaisista PISP-palveluista ovat vähittäiskaupan ja verkkokaupan myymälöissä usein käytetyt pikakassapalvelut, joiden tarkoituksena on parantaa tavallisten ostajien asiakaskokemusta.
On aina hyvä tarkistaa, että Rahoituspalvelurekisteri että tilitietopalveluja tai maksunvälityspalveluja tarjoava yritys valtuutetaan ensin.
Voit tarkistaa, onko yritys saanut toimiluvan FCA:n rekisteristä tai osoitteesta Avoin pankkihakemisto.
Valtuutetut TPP:t pääsevät aina käsiksi vain niihin tietoihin, joita tarvitaan palveluun, jonka olet tilannut. Jos siis olet pyytänyt rekisteröityä TPP:tä tarkastelemaan käyttötiliäsi yhdessä pankissa, sillä ei ole näkyvyyttä muihin kyseisen pankin palveluihin.
Koska kaikkien TPP-palvelujen on noudatettava tietosuojalainsäädäntöä, palveluntarjoajan on kerrottava, mitä tietoja se käyttää, kuinka kauan ja mitä se tekee näillä tiedoilla, ennen kuin rekisteröidyt.
Jos käytät kolmannen osapuolen palveluntarjoajaa, joka ei ole säännelty, et saa samanlaista petossuojaa. Jos siis menetät rahaa sääntelemättömän palvelun avulla, on mahdollista, että pankkisi ei maksa korvausta.
API:t vs. Screen Scraping
API:t ovat yleensä paljon turvallisempia kuin vaihtoehtoiset ratkaisut. Yksi tällainen esimerkki on näytön kaapiminen.
Sovellukset, jotka käyttävät näytönkaappausta, pyytävät sinua luovuttamaan pankkitunnuksesi ja pyytävät lupaa kerätä tai "näytönkaapata" tietojasi.
Käytännössä he esiintyvät asiakkaana, mikä voi paljastaa erittäin arkaluonteisia henkilötietoja ja altistaa sinut petoksille. Näytönkaappauksen käyttö jatkuu siirtymäkauden ajan noin syyskuuhun 2019 asti, jolloin se kielletään, koska pelätään, että se ei ole yhtä turvallista kuin sovellusrajapinnat.
Ovatko sovellusrajapinnat siis riittävän turvallisia rahoitustietojen välittämiseen?
Kun tarkastellaan sovellusrajapintojen turvallisuutta, avoimuutta ei pidä sekoittaa huonoon turvallisuuteen. Tekemällä tutkimusta ja valitsemalla oikeat TPP:t yritykset ja kuluttajat voivat hyödyntää API:iden tarjoamia etuja taloushallinnon yksinkertaistamiseksi.
Vaikka osa TPP:istä on edelleen sääntelemättömiä ja Screen Scrapingin kaltaiset tekniikat ovat edelleen kuluttajien saatavilla, on selvää, että alalla on vielä paljon tehtävää sen varmistamisessa, että API:n käyttö on mahdollisimman turvallista ja varmaa.