词汇表: 网络安全术语和定义

什么是开放银行? 该技术的优缺点

开放银行融合了金融与科技,但也伴随着风险。 了解如何构建安全的开放银行框架。

开放银行允许第三方支付服务和其他金融服务提供商通过应用编程接口 (API) 访问来自传统银行和金融机构的银行交易和其他数据。 通过这种安全的数据互操作性,开放银行为消费者提供了跨多个平台访问和管理金融信息的承诺,以利用分散的银行服务、新的支付功能以及更具创新性和个性化的金融服务业务模式。

了解开放银行业务

在传统银行业务中,财务数据通常存储在各个银行内。 客户与第三方共享数据的选择有限,并且数据访问通常仅限于银行封闭的服务提供商生态系统,从而限制了可用选项的多样性并抑制了竞争和创新。 开放银行不同于传统银行,强调金融服务业(FSI)内的数据共享、竞争和客户授权。 

什么是开放银行?

开放银行是一种基于技术的银行系统框架,通过安全的 API 促进金融机构和授权的第三方提供商之间的安全数据共享。 它促进竞争、创新和客户对金融数据的更大控制,使消费者能够访问更广泛的金融服务和应用,同时保持强有力的安全措施。 开放银行旨在提高透明度,增强客户体验,并推动更加个性化的金融产品和服务的发展。

关键参与者和组成部分

开放银行环境由多个关键参与者和组件组成,它们相互作用,实现安全的数据共享和新金融服务的开发。 

开放银行系统的基石是银行、信用合作社、经纪公司和其他提供传统金融服务并持有客户账户和财务数据的金融机构。 除了这些机构参与者之外,还有第三方提供商 (TTP),它们利用开放银行 API 提供新的金融产品和服务。 这些 TTP 包括软件开发商和金融科技 (fintech) 公司,他们旨在通过使用现代技术来创造更加用户友好、创新且通常是小众的产品和服务,从而颠覆传统的 FSI 参与者。 开放银行生态系统中的另一组关键运营商是监管机构,他们负责监督和执行银行法规,并制定管理更广泛的金融服务领域的数据共享和安全的规则和标准。

开放银行还依赖于一系列关键技术。 其中最主要的是 API,它是促进应用与其他应用、服务或平台进行通信和交换数据的接口;在这种情况下,是在银行、TTP、客户以及有时是数据聚合器之间。 为了确保这种数据交换免受攻击,必须采取强大的安全措施,包括加密、身份验证和授权以及数据共享协议,以维护数据隐私并防止网络攻击、数据泄露和未授权访问。

开放银行 API

API 为银行与第三方提供商共享客户财务数据提供了一种安全、标准化的方式。

API 在开放银行业务中的作用

API 是实现开放银行业务的关键。 它们确保双方能够理解和使用彼此的系统,而无需了解彼此架构的复杂性。 使用严格的授权机制,银行可以对通过 API 可访问的数据实施细粒度的控制,以确保第三方只能访问他们需要的数据,而不能访问其他数据。 API 或 API 网关通常包括审计功能,允许银行监控和跟踪数据访问,这有助于识别可疑或未经授权的活动,并保留谁在何时访问了哪些数据的记录。

开放银行 API 标准

共享 API 标准和协议对于确保一致性、安全性和互操作性至关重要,以实现开放银行系统中实体之间的安全数据共享和交换。 这些包括:

  • OAuth(开放授权)是一种常用于 API 中的安全授权和身份验证的授权协议,允许第三方应用在不暴露用户凭据的情况下访问用户的数据。
  • RESTful API(表述性状态转移 API) ,一种用于设计网络应用的轻量级 Web API 架构。 RESTful API 旨在实现不同软件系统通过互联网进行通信和数据交换,因此成为构建 Web 服务的热门选择。 RESTful API 是无状态的,这意味着从客户端到服务器的每个请求都必须包含理解和处理该请求所需的所有信息。
  • JSON Web Tokens (JWT)是一种紧凑、开放标准的方法,用于以紧凑、独立且安全的方式在双方之间传输数据。 JWT 广泛用于基于令牌的身份验证和授权。
  • SSL/TLS 加密是一种用于安全网页浏览的安全框架,它提供了高级别的安全性并促进了安全通信和身份验证。 TLS 协议的最新版本是TLS 1.3 ,其中包含一项称为完美前向安全 (PFS) 的重要新安全功能。 PFS 协议中使用的密钥交换机制是针对每个会话动态生成的,并且仅用于该会话。 即使攻击者获得了用于加密当前通信的私钥,PFS 也能确保他们无法解密过去或将来的通信。

开放银行 API 的使用案例

开放银行 API 使金融科技和 TPP 能够提供新的创新金融解决方案,包括: 

  • 账户聚合,将来自多个金融机构或账户(如银行账户、信用卡、投资和贷款)的财务信息整合到单一视图中,让客户在一个统一的界面上查看他们的整个财务状况。 开放银行 API 可以安全地访问和检索来自不同银行和机构的账户信息,使消费者更容易管理财务、跟踪支出、制定预算并做出明智的财务决策。
  • 支付发起,一种电子支付交易形式,允许消费者直接从银行账户付款,而无需支票或信用卡等传统工具。 支付发起服务提供商 (PISP) 使用开放银行 API 将资金从发起银行账户转移到收款人的银行账户,比传统支付方式更快、更高效,而且交易费用通常更低。
  • 信用评分根据消费者的财务历史和行为评估其信用度,利用开放银行 API 实时提取财务数据,建立更准确、更明智的信用档案。 

开放银行安全吗?

开放银行采用多种安全措施来保护财务数据和交易的机密性、完整性和可用性。 虽然这些安全措施大大增强了开放银行的安全性,但没有一个系统是完全没有风险的。 网络安全威胁不断演变,漏洞不断出现。 虽然开放银行通常是安全的,但其安全性在很大程度上取决于标准化安全实践的实施和对法规的遵守。 

在欧盟,开放银行业务受 PSD2(修订后的支付服务指令 2)内强有力的监管框架的管辖,该指令要求银行和 TPP 都必须实施强有力的客户身份验证、数据保护和安全标准。 虽然美国没有针对开放银行的具体监管框架,但美国的银行相关活动受到现有金融法规和数据保护法的约束,包括货币监理署(OCC)、美联储和消费者金融保护局(CFPB)等联邦机构的监管。 金融数据交易所(FDX)在美国也发挥着作用 FDX 是一个由北美最大的金融服务机构代表组成的非营利组织,致力于将 FDX API 标准开发为通用的可互操作数据标准。

此外,开放银行解决方案设计有安全措施,以保护金融数据和交易的机密性、完整性和可用性。 银行和 TPP 必须为其 API 实施强大的安全措施,包括访问控制、速率限制和威胁监控,以防止未授权访问并防止攻击。 开放银行还要求对客户进行强身份验证才能访问财务数据和启动支付,并采用加密协议来确保银行、TPP 和消费者之间的数据传输安全。

开放银行业务的好处

开放银行加速了更多现代数字金融服务与众多老牌银行机构的融合。 它为消费者带来了诸多好处,有可能改变金融服务格局,使其更加以客户为中心、更加高效、更加包容。

增强客户体验

开放银行业务使客户能够获得单一银行通常无法提供的更广泛的金融产品和服务。 在单一统一的仪表板上呈现一系列服务意味着客户可以在一个地方查看和管理来自不同银行或金融机构的多个账户,通常通过一个移动应用程序或平台。 这简化了财务管理并提供了客户财务状况的全面概述。 支持无摩擦身份验证的服务可以通过消除使用 CAPTCHA 或 MFA 机制等安全问题来进一步简化客户体验,同时保持严格的访问安全性。

竞争和创新加剧

通过打破传统障碍并允许进入者提供新的金融产品和服务,开放银行促进了金融行业的竞争和创新。 这些新来者可以通过提供新的银行和金融方法来挑战现有的银行和金融机构,并提供更加定制化的金融产品和服务,以更好地满足客户的金融需求和目标。 此外,银行和TPP之间竞争的加剧可以降低金融产品和服务的价格,客户可以享受更低的费用、更优惠的利率以及更好的条款和条件。

金融包容性和可及性

开放银行还可以帮助向没有传统信用记录的服务不足的人群提供金融服务。 通过评估非传统金融来源(例如水电费和租金历史),个人可能能够获得原本可能被拒绝的贷款和金融产品。

开放银行的挑战和担忧

开放银行业务提供了许多好处,但也带来了一些挑战和问题,需要解决这些挑战和问题才能确保其成功实施和采用。

数据隐私和安全

人们对开放银行业务中客户数据可能被盗窃或滥用的担忧十分严重,这源于所涉及的金融信息的敏感性。 客户需要确保他们能够控制自己的财务数据,并采取严格的安全措施来保护客户数据,并确保仅在授权的情况下访问和使用数据。 安全性薄弱可能导致数据泄露,将敏感的客户信息暴露给网络犯罪分子和恶意行为者。

监管合规性

开放银行的监管环境可能很复杂,不同地区的标准有所不同,例如欧洲的PSD2 。 如果金融机构和TPP在具有不同合规标准的多个国家开展业务,则必须遵守这些法规,而确保不同系统之间的互操作性并遵守多种监管框架在技术上可能具有挑战性。 此外,当产品和服务跨越监管界限时,有效执行开放银行标准并追究不合规行为的责任可能会很困难。

数据泄露和欺诈风险

银行和TPP之间共享客户财务数据增加了数据泄露的风险,强大的身份验证和加密对于保护客户和账户信息至关重要。 此外,获取、跟踪和管理客户明确同意与 TPP 或开放银行生态系统内的其他方共享其财务数据的过程可能会令人困惑。 需要清晰且用户友好的同意机制,以确保客户同意不会被滥用,并且只有在客户明确许可的情况下才能访问和使用客户数据,并遵守数据保护和隐私法规。 

开放银行的未来

随着客户对更现代银行服务的需求不断增长,开放银行将继续大幅增长。 开放银行的发展也将受到技术进步以及对安全性和网络攻击普遍性的日益关注的影响。 

开放银行技术的演变

人工智能(AI) 和区块链等新兴技术有可能通过增强安全性和支持创新金融服务对开放银行的未来产生重大影响。 人工智能安全解决方案可以实时分析大量数据,以检测欺诈活动和异常,并通过实现更强大的身份验证,增强开放银行平台的整体安全性。 区块链技术是去中心化金融应用的关键,它通过去中心化的借贷和金融资产交易,直接在个人之间实现点对点交易,从而绕过银行和支付处理商等传统中介机构。 这些创新可以进一步颠覆传统银行服务,扩大开放银行的范围。

此外,监管变化、技术进步和消费者需求为更加互联互通和竞争更加激烈的全球金融格局创造了动力。 随着开放银行计划不断扩大,越来越多的国家采用开放银行法规和标准,实现跨境互操作性的需求变得至关重要。 需要标准化的协议和方法来促进跨境金融数据和服务的无缝交换,使客户在旅行或开展国际业务时能够无缝地获得金融服务。 

开放银行也代表着金融行业从以产品为中心向以客户为中心的根本性转变。 它将客户置于战略的最前沿,强调个性化的服务和体验,并有机会让开放银行运营利用数据分析和人工智能提供定制的建议、投资选择和储蓄策略,以满足不断变化的客户需求。 

银行业的潜在颠覆性影响

虽然客户可能会发现开放银行提供了更好的整体银行体验,但开放银行的动态可能会导致银行业的混乱,竞争加剧会给传统银行带来压力,迫使其改善服务、降低费用并进行创新。 由于技术限制和系统升级成本高昂,拥有传统 IT 系统的传统银行可能难以与开放银行竞争,从而限制了它们跟上更敏捷的金融科技竞争对手的能力。 开放银行还减少了金融交易对中介机构的需求,并有可能绕过传统银行。 这种非中介化可能会影响银行的贷款发放费和收入来源。 

然而,开放银行参与者与传统金融机构之间的关系不一定是对抗性的。 传统银行和金融科技公司之间的合作可以建立互惠互利的伙伴关系,使传统银行保持竞争力、进行创新并增强其产品服务。 通过与金融科技公司合作,传统银行可以为客户提供更广泛的金融产品和服务,满足不同的需求和偏好,并进入以前未开发的市场或人口统计数据。 开放银行为双方创造了互补优势和产品的机会。

F5 如何提供帮助

开放银行具有跨多个平台访问和管理金融信息的潜力,从而提供分散的银行服务、新的支付功能以及更具创新性和个性化的金融服务业务模式。 然而,开放银行生态系统中的金融数据共享引入了多重网络安全和数据隐私风险,银行和TPP必须为其API实施强大的安全措施,包括加密、身份验证和授权以及数据共享协议,以维护隐私并防止网络攻击、数据泄露和未授权访问。

F5 提供全面的银行和金融服务网络安全产品,为 API、应用程序及其支持的开放银行服务提供强大的保护。 这些解决方案可保护跨架构、云和生态系统集成的 API 和应用程序,从而降低风险和运营复杂性,同时降低 API 安全的总成本。 了解 F5 解决方案如何通过注入积极的 API 安全模型来保护开放银行 API,该模型可改善风险管理,同时支持金融服务行业的数字创新。