開放銀行即將邁入第二階段,雖然開放金融生態系可望因此更快速往前發展,但不管是技術或服務,也將面臨全新的發展。
採訪/施鑫澤 文/楊迺仁
為讓消費者、銀行及TSP都能夠放心地進入開放銀行第二階段,政治大學國際產學聯盟與金融科技中心於日前特別邀請財金公司,共同針對開放銀行第二階段作法與測試作業進行解說,除了讓有興趣加入開放銀行的業者,可以充分了解第二階段的合作方式,並希望透過建立TSP與銀行的技術測試標準,以及合作情境創新,可以提升TSP與銀行合作的綜效,加速打造開放銀行第二階段生態圈的效益。
開放銀行需要時間累積價值
政大金融科技研究中心主任王儷玲表示,開放銀行第二階段將會開放消費者帳戶資料查詢,這將是我國開放銀行建立健全體制的重要關鍵時期,許多的技術、資安與法遵規範都必須在這階段建置完成,台灣的開放銀行才能持續往前邁進。
王儷玲指出,開放銀行需要時間累積增加客戶與資料價值,才能成為金融科技的主要驅動力。以英國推動開放銀行五年來的成果來看,英國九大銀行和數十家非主流銀行,都已加入開放銀行的串接,涵蓋99%的英國金融市場,提供創新服務的業者超過210家,體驗開放銀行創新服務的消費者超過200萬人,金融科技投資金額成長38%,可見開放銀行對數位創新有相當大的幫助。
至於台灣開放銀行的進展,第一階段開放資料查詢,已於2019年十月啟動,第一批上架API的銀行多達23家,初期則有6家TSP加入。開放銀行第二階段仍在推廣階段,王儷玲強調,許多技術、資安與法遵規範都必須在第二階段建置完成,政大會持續協助建立健全法規環境,包括建立技術合規標準、API共同驗證測試標準、資安風控技術認證、提供合格雲端資安合規環境、後續資安與法遵合規稽核查驗、爭議處理與責任歸屬、資安保險等機制。
從英國開放銀行的經驗可以發現,在建立好相關的Open API基礎設施與資安標準之後,就可以快速串接多家第三方服務業者,加速銀行數位轉型、創新商業模式。而目前積極參與第二階段共同訂立Open API跨業合作的試辦銀行與TSP業者也將會成為台灣未來Open Banking的領航者。王儷玲相信開放銀行第二階段的創新會讓台灣的金融機構創造更大的資料價值與新的商業模式,提供更完整的一次購足金融整合服務,期盼未來會有更多銀行與TSP業者能陸續加入後,能為台灣提供更多有價值的開放金融創新服務,也使我國金融服務生態系更強大。
台灣開放銀行第二階段推展與作法
財金公司企劃部專案經理時薇茜表示,「開放API」業務推動進程主要分成三個階段,第一階段「公開資料查詢」已完成,目前由25家金融機構、7家TSP營運上線,2019年迄今每個月的使用量平均90~100萬筆,提供個人金融資訊查詢與低風險金融申請服務,算是已打下基礎。
第二階段「消費者資訊查詢」已於2019年底完成技術及資安標準制定,今年要進行的是第二階段資安標準核備以及業務上線,本次說明會正式公開第二階段共計18隻API,以及其應用項目共分為存款類、貸款類、其他銀行服務三大項目,提供個人金融資訊查詢與低風險金融申請服務,財金公司未來將會協助新導銀行辦理業務申請試辦事宜。
第二階段「消費者資訊查詢」服務的業務範圍,主要是讓會員銀行與TSP業者可以透過開放應用程式介面,新增提供金融往來資訊,如帳戶餘額資訊、信用卡交易資訊及金融往來歷史交易紀錄資訊等相關資資料,以及申請金融產品及服務,如存款帳戶開戶申請、信用卡申請、信用卡附加功能申請、電子帳單申請及取消等。
時薇茜指出,因第二階段涉及使用者個人金融資訊,金融機構與TSP業者兩造之間必須簽訂合約,TSP業者要協助使用者取得資訊,必須要得到使用者同意。至於金融機構若要申請試辦,會先由金管會進行資料審核,自律規範、技術及資安標準,預計下半年就可以申請試辦。為穩健辦理業務營運事宜,今年度會先透過試辦方式進行,以實證第二階段之自律規範、技術及資安標準,並將實證結果陳報主管機關據以參考,以進一步落實金融科技創新成果,並加速金融產業與科技新創業者之媒合。
時薇茜強調,「開放API」業務的發展效益,在於統一技術規格及資訊安全標準,有助於降低TSP介接及開發成本,因為可以用一站式平台來設計,不用配合多種平台來設計。未來透過金融機構的跨域合作TSP業者(科技新創、電商業者、電信業者及其他金融機構),皆可在遵循共通的業務及技術規範前提下,快速拓展「開放API」業務,實踐更多的創新應用場景,以拓展金融服務之多樣性,打造金融服務生態系基礎建設。
除了公開目前開放的API項目外,財金公司研發部組長洪國峻也說明公開測試驗證的流程與方式。財金公司的測試驗證共分為二階段,首先是金融機構與財金公司的對接測試,主要測試放在訊息收送、加解密處理等,第二階段為TSP與金融機構對接測試,主要是針對認證授權(OAuth)、訊息收送、加解密處理等部分進行測試,金融機構可自行依實作狀況選擇是否先完成金融機構測試後,再偕同TSP進行第二階段。
金融機構測試的部分,除了要驗證金融機構第二階段技術標準的API訊息實作完成度外,也要由財金公司依據測試範圍,驗證金融機構API訊息。至於TSP與金融機構測試,主要是由TSP業者與金融機構依據業務規劃進行相關測試,並依據測試範圍驗證API訊息,財金公司將於測試過程中協助排除問題。
有關測試驗證注意事項方面,在訊息處理部分,因應各金融機構OAuth處理機制不同,同時為簡化連線方式,將由TSP直連金融機構實作OAuth等訊息。API訊息由TSP介接財金公司後,再轉接到金融機構。
在憑證作業方面,將會採TLS雙向認證,TSP與金融機構簽署合作並完成註冊時,金融機構將會取得「TSP通訊憑證」。金融機構API訊息若是經由財金公司介接,應提供「Bank通訊憑證」、「TSP通訊憑證」給財金公司,財金公司將提供「FISC通訊憑證」給金融機構,金融機構再將「FISC通訊憑證」給TSP。
在認證機制方面,TSP的代理存取端與金融機構的資源伺服器或授權伺服器間,應建立認證機制,並遵循下列必要措施,包括採用TLS雙向認證或以簽章之JSONWebToken(JWT)進行認證。採用憑證者,應驗證憑證及憑證鏈的正確性及有效性,並應以事先設定的來源網路位置(IP)正面表列管制。
如TSP直接介接金融機構,金融機構依現行作法因應,如TSP是由財金公司轉接金融機構,將採TLS雙向認證方式,財金公司將於API訊息結構HttpHeader中,提供TSP資訊包括憑證序號(X-CSN)、發證單位(X-ISR)、來源IP(X-CIP)予金融機構辦理認證作業。
財金公司強調,未來希望能夠蒐集更多的業界意見,如與TSP進行需求及使用者場景訪談,並進行「開放API」之業務媒合。並透過「政治大學產學營運暨創新園區Hub」及「金融科技創新園區」與「開放API管理平台」介接,提供TSP業者試驗環境,方便TSP測試驗證,輔導業者進行前端創新應用。
TSP技術合規作法分享
政大金融科技研究中心顧問謝焸憲也分享TSP技術的合規作法。在合規項目方面,合作前及合作後,都有不同的注意重點,如合作前除了要取得聲明書及相關文件以符合資格外,技術面要做好連線安全及API檢驗,營運面則要取得ISO27001及作好資安檢查,合作後也要做好稽核,包括TSP年度自評及銀行抽查。
政大已輔導多家TSP,協助業者有效率進行開放銀行的創新應用。謝焸憲預計輔導導入時程需要四到六個月,包括課程訓練、ISO輔導及介接標準的開發過程,以及ISO認證及介接自檢的驗證,有助於上線時會更有效率。
在介接自檢方面,輔導目的在於建立與銀行共用API規格,公開讓銀行與TSP使用,並建立標準測試項目,加速TSP與銀行測試速度與效率。做法包括與SI廠商合作、建立Swagger/OAS規格、建立測試標準項目、開發資料驗證小工具、開發API測試小工具、與SI合作進行API平台測試等。
謝焸憲提醒業者,在建立Open API技術與資安架構時,使用者身分認證、使用者帳密、網路類型、訊息加密、程式安控、財金API安規及獲取銀行資料最為重要,可以跟安控規範相對應,並加以研究。政大未來希望能夠針對連線安全、API檢驗、身分認證及資安檢測這四個項目,能夠明確相關作法及強度,未來甚至能夠提供滲透測試。
首先在連線安全部分,將會依財金公司規範,TSP/FISC/BANK都須做加密傳輸。並依PSD2要求,建議採用QWAC標準所發之憑證,在台灣建議使用授權的CA憑證公司發放憑證為主,如台灣網路認證公司、中華電信Digicert。
建議申請流程作業方面,首先是由TSP向銀行提出申請,確認雙方所須之憑證,再由TSP會簽銀行向憑證公司申請憑證,並交付TSP檢核文件,接下來由TSP繳付費用後,產生憑證簽署要求(CSR),最後由憑證公司確認身份後,進行憑證核發,並知會銀行端。
在API檢驗方面,由於很多應用情境都是跨境應用,所以不同於銀行以前的內部開發,謝焸憲建議要用TSP與銀行雙方協議好的DevOps流程進行。由於開放銀行是使用REST API技術架構,因此可以在設計時就以Swagger/OpenAPISpecification(OAS)為設計、開發及佈署的共通文件。
Swagger/OAS目前有2.0及3.0兩個版本,謝焸憲推薦3.0比較精簡。在檔案格式方面,支援YAML及JSON兩種,財金公司建議使用YAML檔案格式。
謝焸憲指出,Swagger網站有提供類似Github功能,可以讓開發者將Swagger/OAS文件上傳存檔,TSP在與銀行合作時,只要確認自家合作情境,即可與銀行產生必要OAS API/Auth文件,進行開發後,再與財金進行測試後上線,未來可以與其它銀行討論進行修正,達到重複使用(re-use)的效益。
在身分認證驗證方面,依法源定義,要進行身分確認、消費者認證及消費者授權三項作業,三項作業息息相關,如身份確認的重點是認定是否為本人,如此才能夠進行消費者認證。技術基準方面則依「開放應用程式介面(Open API)技術標準規格文件」第七章的訊息規格,有規劃四支認證授權的API介面。
最後在資安檢測方面,程式碼安全檢測會以人工透過分析軟體對程式碼,找出具有風險的弱點,包括找出危險函式及程式撰寫錯誤與程式輸入點的關係並分析;若使用分析軟體建議與版本控制及CI/CD同時建置,即可於程式開發階段編譯後,即可早期發現資安問題,可減少後期弱點掃描或滲透測試所發現的弱點。
在弱點掃描層面,包括攻擊系統主機及網頁伺服器,前者對內針對系統中各種資訊服務進行檢測或是弱點確認,對外僅開放服務需求之連接埠;後者則是針對網頁上的作業系統為主,針對會攻擊網頁伺服器漏洞弱點,也會攻擊網頁系統中開發者撰寫程式所造成的問題進行掃瞄。
此外,弱點掃描也會以大型商用弱點掃描軟體做大規模、自動化的掃描,以找出作業系統及於各埠號所啟用之服務中的資安弱點,並以自動化爬蟲找出網站頁面中所有端點,對頁面所有參數注入參數,並以當下伺服器回應判斷。
在滲透測試方面,則是模擬駭客入侵之攻擊手法,找出系統或是應用程式漏洞,以拿到系統控制權限為最終目標,在應對程式碼端的防護時,可以人為做較為彈性變化的攻擊、繞過程式上所設計的防護措施,針對攻擊程式代碼非立即性執行或是回應可以做出判斷。
建立開放銀行生態圈要大家一起努力
說明會最後是業者交流時間。時薇茜首先強調,財金公司一直以來扮演制定金流標準的角色,開放API階段會扮演協助建置基礎建設的角色,基礎平台的建置以及創新應用的發想,將是未來的重點目標,尤其是金融科技新創業者有很多想法,都是現在金融機構傳統服務因為涉及技術或資安要求,不見得能夠配合,如何謀合兩者之間的需求,會是財金公司的重點。
洪國峻指出,開放銀行第一階段及第二階段的最大差別,在於第一階段因為是以公開資訊為主,強調的是快速、方便,第二階段因為涉及消費者資訊,如何確保安全,會是重點,需要發展的時間會更長,尤其是雙向憑證要特別注意。
由於使用者身分認證對銀行界算是比較新的應用,也是需要著重的地方。資料保護的部分,要確保通訊層有做雙向保護,點對點的資料加密也要加強,才不會出現任何的洩漏。由於銀行本身有許多加密方式,希望透過開放API跟國際標準接軌,而且在發展各種應用時,不用一直開發各種不同的加密方式。
台新金控資訊長孫一仕指出,台新對開放API的態度,是既積極又謹慎,積極面是希望透過與TSP的合作,可以看到更多客戶新的應用場景,謹慎面是因為金控單位過去並沒有跟外界單位合作的經驗,對於風險控管變得更加謹慎,建議TSP可以透過公正第三方的協助,盡快融入金控業者的風險體系。
CWMoney副總經理陳銘文指出,CWMoney在2011年就已經透過購併發展保險存摺、理財內容等記帳軟體業務,希望能夠發展一站式理財服務,未來會努力提供先行者經驗,讓其他銀行及同業也能夠進入市場。
陳銘文強調,官方只要開放資料,業者就會有發展機會。如財政部很早就已提供發票API讓業者使用,所以近期有很多消費軟體整合發票資訊,發展更多應用,健保局的開放口罩也是一樣,在幾天內就提供幾十套應用,只要有一個公正單位認證,台灣的軟體開發能量就能充分展現。
由於銀行的消費者資訊,本身就有公正性,但現在的APP目前的應用品質有限,TSP因為熟悉消費者需求,銀行則有開發新業務的壓力,TSP因此可以扮演謀合的角色,對消費者而言,不用擔心受騙上當,對銀行而言,可以更快的接觸消費者。困難點在於很多銀行都在觀望,銀行內部的意見整合,可能需要高層更積極參與,甚至由金管會來要求,銀行應該要怎麼參與Open API。
王儷玲最後強調,開放銀行第二階段是建立完善環境與健全法規體制的起頭,起頭如果讓TSP難以加入,會很難在銀行端展現效益。雖然銀行跟TSP合作,對提升消費者體驗會很有加分作用,但銀行也會很擔心資安問題,更擔心TSP如果沒有處理好資安問題,究責時會不會檢討到銀行本身,所以才會建置許多規範。
由於健全法規環境必須要注意技術合規標準之一致性,政大及財金公司目前已經合作建置API共同測試平台,這個平台也會與大型SI業者合作,串聯提供更多元與安全的技術基礎環境,TSP如果能夠善用,就可以提升資安環境、降低風險。未來甚至可以推動資安保險,完善預警與理賠機制,讓開放銀行API交換環境變得更加安全,也讓消費者、政府與業者更無後顧之憂。台灣要建立更健全的開放銀行的生態圈必須要靠大家一起努力!
