Услугата на БОРИКА "XS2A Gateway" подпомага доставчиците на платежни услуги

Директива (ЕС) 2015/2366 на Европейския парламент и на Съвета на Европейския съюз, регламентираща платежните услуги (Payment Service Directive или PSD2), изисква от Доставчици на платежни услуги, обслужващи сметки, да отговорят на новите изисквания за сигурност, да отворят достъпа до сметките на своите клиенти чрез приложно-програмни интерфейси (API) и да се приспособят към новата конкурентна среда на отворено банкиране. Съгласно Директивата, всички Доставчици на платежни услуги обслужващи сметки в рамките на Европейския съюз, трябва да осигурят сигурен и надежден канал за достъп на други доставчиците на платежни услуги (Third Party Providers) до платежните сметки на своите клиенти за основните операции - информация по сметка, иницииране на плащане и проверка за наличност на средства по сметка. За да подпомогне финансовите институции, опериращи с клиентски сметки, БОРИКА АД в партньорство с BULPROS разработи услугата "Шлюз за достъп до сметка (XS2A Gateway)", базирана на платформата IBM API Connect. Освен приложно-програмни интерфейси (API) за достъп до сметките на клиентите, в обхвата на услугата влизат също и портал за разработчици, съдържащ документация и тестова среда (Sandbox), както и административен портал за наблюдение и изготвяне на отчети.

.

Една от основните цели на проекта е да се подпомогнат доставчиците на платежни услуги, обслужващи сметки, да покрият изискванията на PSD2 и Регламент (ЕС) 2018/389 на Европейската комисия относно регулаторните технически стандарти за задълбоченото установяване на идентичността на клиента и общите и сигурни отворени стандарти на комуникация. Тъй като Директивата дава достъп дo сметките на клиентите на трети страни (TPP), водещ акцент е сигурността, част от която е и проверката на Third Party Providers (TPP) - има ли право дадено TPP на достъп до сметките на клиентите.

Друга основна цел е да се предостави на Доставчиците на платежни услуги, обслужващи сметки качествена услуга, даваща им възможност да спестят средства за сметка на индивидуални решения, разположени в тяхна инфраструктура.

С проекта се цели, при изграждането на приложно-програмните интерфейси (API), да се следва стандарта БИСТРА (Банкови Интерфейси за Стандартизирани РАзплащания) - стандарт разработен от банковата общност в България и базиран на NextGenPSD2 Framework на Берлинската група.

ИТ решение

Решението обхваща следните процеси:

• Даване/отнемане на съгласие на крайния потребител за достъп до собствени сметки - потребителят желае/не желае да ползва услуги, предоставяни от друг Доставчик на платежни услуги (Third Party Provider) и съответно предоставя/отнема достъпа до сметките си на този Доставчик на платежни услуги;
• Иницииране на плащане от сметка на краен потребител - потребителят желае да инициира превод през Доставчик на платежни услуги (TPP), който трябва да бъде оторизиран (потвърден) по начина, по който това става през директните канали за достъп на клиента като интернет банкиране, мобилно банкиране и др.;
• Информация по сметка на краен потребител - дава възможност за извличане на различна информацията по сметките на клиента - списък от сметки, детайли за сметка, баланси по сметка, списък от транзакции и детайли за транзакция на база предварително дадено от потребителя съгласие за това;
• Потвърждаване на наличност на средства по сметка - дава възможност за проверка за наличие на конкретна сума по дадена сметка, без да се извършва блокировка на сума.

Решението е базирано на платформата IBM API Connect, която дава възможност за публикуване и управление на интерфейсите (API). Платформата е multi-tenant и е инсталирана върху голям брой виртуални машини в два различни Data центъра с цел осигуряване на висока наличност на услугата. За сигурността на решението се грижи модулът IBM DataPower, част от платформата IBM API Connect, в който се извършва и проверката на сертификатите на Доставчиците на платежни услуги (TPP). Проверката се базира на QSVS, съществуваща услуга на БОРИКА за проверка на квалифицирани удостоверения (сертификати).

Други основни компоненти на решението са:

• Система за управление и съхранение на съгласията на ползвателите на платежни услуги. Базата данни на тази система е MS SQL.
• Адаптери за връзка между IBM API Connect и клиентите на услугата "Шлюз за достъп до сметка (XS2A Gateway)". Базата данни за тези адаптери е Oracle DB.
• Услуга за проверка на квалифицирани удостоверения (QSVS), която верифицира сертификата на TPP срещу европейския списък с квалифицирани издатели на удостоверения по eIDAS.

Благодарение на факта, че платформата работи върху множество сървъри, се осигурява както защита при отпадане на компонент, така и висока производителност на средата за множеството клиенти на услугата.

Комуникацията между Third Party Providers (TPP) и XS2A Gateway минава през интернет, като интерфейсите (API) са защитени с токени за достъп, които се издават единствено на оторизирани TPP-та.

Комуникацията между XS2A Gateway и Доставчиците на платежни услуги обслужващи сметки е или по вече съществуваща MAN свързаност между тях и БОРИКА или по специално изградена за целта VPN свързаност.

"Решението ни даде възможност за изключително бързо внедряване и покриване на регулаторните изисквания, като същевременно отговаря и на високите ни изисквания за осигуряване на сигурност", коментира Кирил Кирилов, вицепрезидент и CIO на "Алианц Банк България" АД.

Георги Пенчев, ръководител на отдел R&D в "Банка Пиреос България" АД (впоследствие придобита от Пощенска банка), допълва, че в частта за PSD2 е внедрен и B-TRUST MOBILE за осигуряване на задълбочено установяване на идентичността (SCA), както и системата за управление на съгласията. Мненията на потребителите в банката могат да бъдат разделени на две части:

• Според ИТ потребителите: Това е изключително лесен начин за имплементация и интерфейсна свързаност, която не изисква сложна техническа реализация, и осигурява скалируемо бързодействие;
• Според бизнес потребителите: Това е техническо решение, предоставящо възможност за автентикация и подписване на документи за различни бизнес процеси PSD2, 3DS и други.

"Решението, което се предоставя от БОРИКА, позволява преизползване на текущата реализация в новосъздадени или бъдещи бизнес процеси", допълва Георги Пенчев.

Ефект от ИТ решението

Услугата "Шлюз за достъп до сметка (XS2A Gateway)" подпомага клиентите си в процеса на покриване на изискванията на PSD2. С това, доставчиците на платежни услуги, обслужващи сметки, дават възможност на своите клиенти да бъдат обслужвани и от други доставчици на платежни услуги (TPP), което би повишило клиентската удовлетвореност. Също така, клиентите на услугата спестяват една не малка част от инвестицията, която иначе биха направили, ако сами изграждаха и поддържаха подобна платформа.

Сред предимствата на новото ИТ решение са:

• Възможност за сигурен и контролиран достъп до приложено-програмните интерфейси (API) на неограничен брой доставчици на платежни услуги (TPP);
• Възможност за поддръжка на множество заявки за кратък период от време - до 15 транзакции в секунда на клиент по време на пикови натоварвания;
• Поддръжка на заявки за големи обеми от данни, чийто отговор може да достига до 4 MB;
• Гъвкавост, в рамките на Директивата и стандартите, по отношение на изискванията на всеки един клиент, използващ услугата.

Инвестицията на БОРИКА за развитие на услугата "Шлюз за достъп до сметка" (XS2A Gateway) е базирана на 8 клиента. Очакванията са инвестицията да бъде изплатена за 5 години. Към момента клиентите на услугата са 13, като има потенциал за добавяне на нови такива.

Потенциал за развитие

Услуга "Шлюз за достъп до сметка (XS2A Gateway)" е изградена като multi-tenant решение, което позволява добавянето на нови клиенти. Също така, интерфейсите (API) са базирани на стандарта БИСТРА, с чието развитие в следващите години се очаква и развитие на самите интерфейси. В допълнение се планира и разработката на нови услуги, извън обхвата на PSD2, но използващи същата платформа за публикуване на интерфейси (API).

Услугата "Шлюз за достъп до сметка (XS2A Gateway)" се предлага основно на доставчиците на платежни услуги на българския пазар. Възможно е периметъра да бъде разширен и с доставчиците на платежни услуги обслужващи сметки извън територията на България, включително и на клонове на тези институции в други държави.