輕鬆貸款交流網

標題: 台灣開放银行第二阶段Q3上路,18個API和规范细節公布 [打印本頁]

作者: admin 時間: 2022-1-10 15:07
標題: 台灣開放银行第二阶段Q3上路,18個API和规范细節公布
台灣金管會主委黄天牧日前颁布發表台灣開放银行（Open Banking）第二阶段将在本年第3季上路，并先采纳试辦模式。而在5月26日一場線上勾當中，賣力TSP媒合的政大，和賣力制订Open API技能与信息平安尺度的財金公司，配合揭穿開放银行第二阶段最新過程与计划。

政大金融科技钻研中間主任王俪玲在阐明會暗示，開放银行第二阶段的開放将是台灣開放银行創建健全部制的關頭時刻。很多的技能、信息平安与法令规范都必需在這阶段建置完成，台灣的開放银行才能延续往前迈進。

王俪玲還提到，该阶段包含了創建技能合规尺度、API配合验證测试尺度、信息平安風控技能認證、供给及格云端信息平安合规情况、後续信息平安与法令合规考核檢验、争议处置与责任归属、信息平安保险等機制。

相较于開放银行第一阶段是開放公然的非買賣面金融信息為主，第二阶段開放的消费者信息，因此小我金融信息和低危害金融申请辦事為主，可盘问帐户与简略单纯信誉卡辦事。王俪玲暗示，该阶段共有18支API，利用项目分為存款、貸款、其他银行辦事。利用情形像是帐户余额盘问、帐户整合、信誉卡比價、貸款比價、投資理財举荐、信誉卡设定等。

乃至，到将来第三阶段要開放的買賣面信息，今朝计划因此消费者付出、買賣功效為主，利用場景像是信誉卡點数老虎機技巧，利用、代收代付等。

不外，她提到，银行對付把資料開放出去有所疑虑，加之营运尺度难告竣，和連線尺度門坎高，另有两邊赢利模式不明，都是開放银行推广阻碍。為此，政大在上個月的阐明會，提到要為TSP合规供给教导，讓TSP先合适银行在信息平安与法令的各类请求，再来与银行谈营業上的互助。

第二阶段開放哪些消费者信息盘问？API利用项目首度公然

財金公司企划部專案司理時薇茜则在阐明會揭穿開放API現行营業鞭策過程，与第二阶段消费者信息盘问计划，和API利用项目。

她提到，財金公司在去年末已完成第二阶段消费者信息盘问技能与信息平安尺度制订。本年，要举行第二阶段技能与信息平安尺度的核备，而且，协助银行就审定版的技能与信息平安尺度，举行营業申请试辦。

别的，本年財金也會延续察看如英國、澳洲、香港、新加坡等的成长形式，采集金融機构、財產界与學界需求与定见，再共同主管构造的核按時程，来拟订第三阶段買賣面信息的尺度，并转動式增订技能规格与完整信息平安规范。

按照银行公會自律规范修订重點，第二阶段消费者信息盘问，新增供给金融来往信息和申请金融產物与辦事。時薇茜诠释，金融来往信息是指消费者根基資料与银行間来往的金融帐户与產物相干資料，好比帐余额盘问、信誉卡買賣信息、金融来往汗青買賣记实信息。另外一個则是消费者向银行申请金融產物与辦事，像是存款帐户開户申请、信誉卡申请、信誉卡附加功效申请、電子帐单申请及取缔等。

自律规范提到，金融機构与TSP業者两邊的互助需签定互助左券。而TSP与金融機构經由過程財金開放API平台举行信息傳输，则會由TSP業者签定平台利用规范声明书，算是互助左券的附件，在申请上線時，则由金融機构代為交付。

自律规范也划定，金融機构需获得消费者事先赞成，就可以供给消费者資料给TSP業者，并须保存相干记实。時薇茜進一步提到，在流程上，TSP要协助利用者去金融機构获得金融来往信息前，得先以業者身份获得利用者辦事需求与赞成，利用者在這架构下，再导页到金融機构举行OAuth身份認證与資料授权。

財金公司提到，去年末，银行公會制订的自律规范，和財金移動櫃，拟订的技能与信息平安尺度都已函報给金管會。金管會上半年仍在举行資料整合与审查功课，她流露，金管會近期可能就會以現行自律规范与技能与信息平安尺度有一個审定，或是有修订建议會供给公會或財金。

時薇茜提到，本年下半，金融機构可与互助的TSP業者，针對現行核备的自律规范与技能与信息平安尺度，来提報金融機构营業申请试辦，试辦内容可根据金融立异试辦要點来举行。但是，因第二阶段触及利用者小我金融来往信息，很直接影响到消费者权柄，参考國際間趋向，且為了谨严与稳健打眼睛保健食品, 點营業，以是會透過金融機构用营業试辦方法，举行第二阶段自律规范、技能与信息平安尺度的实證，後续再将实證成果報给主管构造参考。

有别于第一阶段介入的TSP業者多為FinTech新創，財金公司指出，将来与银行跨域互助的TSP業者，不论是科技新創、電贸易者、電信業者，乃至是其他金融機构，只要合适共通的营業与技能规范及信息平安尺度框架這個条件，都能与金融機构互助拓開展放银行場域，实践金融辦事多样性。

財金公司更首度揭穿第二阶段API利用项目，共分為存款、貸款、其他银行辦事3大类，共有18支API，好比貸款类就開放了10支API，像是申请信誉卡門路救济、申请信誉卡本期帐单分期、盘问信誉卡當期帐单信息、盘问信誉卡帐单買賣明细等。不外，財金夸大，這些将来城市转動式调解修订。

第二阶段三大技能请求重點：信息处置、凭證功课和認證機制

在這場線上集會中，財金公司研發部组长洪國峻也针對開放API第二阶段测实验證举行阐明，从中可以進一步看到将来第二阶段在金融機构与TSP之間的技能运作方法，重要有三大重點，信息处置、凭證功课和認證機制的请求。

在信息处置部門，因應各金融機构OAuth处置機制分歧，同時為简化連線方法，OAuth信息由TSP業者直連金融機构。而API信息则由TSP業者介接財金後，再由財金转接金融機构。

在凭證功课部分，银行、TSP、財金端皆采纳TLS双向認證，而双向認證會用通信凭證打點。以是，當TSP与金融機构签订互助并完成注册時，金融機构将先获得TSP通信凭證。而金融機构API信息若是是經過財金介接，则须供给银行通信凭證与先前获得的TSP通信凭證给財金，做双向凭證设定。接下来，財金将供给財金的通信凭證给金融機构，金融機构再将財金通信凭證交付给TSP業者。

而按照安控功课规范，在認證機制上，TSP業者的代辦署理存取端与金融機构的資本伺服器或授权伺服器間，應創建認證機制。要遵守TLS双向認證或因此签章的JSON Web Token（JWT）作認證，采纳凭證者，则要验證凭證与凭證的准确性与有用性。另外一個是，要用事前设定的来历收集位置（IP）正面表列管束。

洪國峻提到，為了因應這两點辦法，財金公司在技能尺度计改善便秘,划，若是TSP直接介接金融機构，金融機构则依現行作法因應便可。但若TSP由財金公司转接金融機构，将采TLS双向認證方法，財金在API信息布局Http Header中，将供给TSP業者信息提供應金融機构打點認證功课，包含凭證序号、發證单元、来历IP，這三個栏位则别离放在X-CSN、X-ISR、X-CIP，金融機构收到這三個栏位，便可以遵守安控功课规范去做事先認證。

為了确保供给API的银行，和介接的TSP两邊技能設計都能合适规范，財金也設計了两阶段测实验證。包含金融機构测试，和TSP与金融機构测试，前项测试包括信息收送、加解密处置；而TSP与金融機构間的测试，除信息收送、加解密处置，還多了一個認證授权（OAuth）。

洪國峻進一步诠释，在金融機构测试部門，主如果要验證金融機构第二阶段技能尺度的API信息实作完成度，由財金公司根据测试范畴验證金融機构API信息。他暗示，测试范畴包含盘问台外币活存存款帐户余额、盘问台外币活存存款帐户買賣明细信息這2项存款类的API，金融機构要在测试条件供Access Token供財金公司後续打點测试。

而財金公司与银行端都需实作TLS双向認證。以是，金融機构在测试前须交付API yaml档与银行通信凭證给財金，財金则要交付自家的通信凭證，供给银行设定双向認證。接下来，財金就會打點API上架。

在TSP与金融機构测试這阶段，则是要验證TSP与金融機构在第二阶段技能尺度的实作整合性，由TSP業者与金融機构根据营業计划举行相干测试，財金公司则會在测试進程中协助解除两邊遭受的问题。

洪國峻暗示，该阶段今朝计划两大类测试范畴，一类是認證授权，共有4支API需实作，包含認證授权、获得存代替码、取缔存代替码、檢點存代替码。另外一类测试，则按照金融機构在第二阶段要供给的营業范畴举行测试，這部門则由金融機构自選。

歡迎光臨輕鬆貸款交流網 (http://www.seobank.com.tw/)