术语

揭秘开放银行:此项技术的优势与不足

开放银行是金融与科技结晶,但也伴随着风险。了解如何构建安全的开放银行框架。

开放银行赋予了第三方支付服务和其他金融服务提供商一种新的权限:通过应用编程接口 (API) 获取来自传统银行和金融机构的银行交易信息及其他数据。借助这种安全的数据互操作性,开放银行向消费者承诺了一种可能性,即他们可以跨越多个平台,访问和管理自己的财务信息,进而充分利用去中心化的银行服务、新型支付功能,以及更具创新性和个性化的金融服务业务模式。

理解开放银行

在传统银行业务中,金融数据往往被孤立地存储在各家独立的银行中。客户与第三方共享数据的方案非常有限,通常,数据仅限银行封闭生态系统中的服务提供商访问,这限制了可选方案的多样性,扼杀了竞争和创新。开放银行与传统银行的不同之处在于,它重视金融服务行业 (FSI) 内部的数据共享与竞争,强调赋予客户更多权力。

什么是开放银行?

开放银行是一种技术型银行系统框架,旨在通过安全的 API,在金融机构和经过授权的第三方提供商之间促进安全的数据共享。它推动了竞争和创新,增强了客户对金融数据的掌控力,在维持坚实安全措施的同时,允许消费者访问更广泛的金融服务和应用。开放银行致力于提升透明度,优化客户体验,并推动金融产品和服务朝着更具个性化的方向发展。

关键参与者和组成部分

开放银行环境包含多个关键参与者和组成部分,它们相互配合,使安全的数据共享和新型金融服务的开发成为了可能。

在开放银行系统中,银行、信用合作社和经纪公司等金融机构处于最基础的地位,它们提供传统金融服务,并持有客户账户及其他金融数据。除了这些机构参与者,第三方提供商 (TPP) 也在利用开放银行 API 提供新型金融产品和服务。这些第三方提供商包括软件开发商和金融科技公司,它们致力于运用现代科技打造对用户更加友好、更具创新性,并且往往更有针对性的产品和服务,借此挑战传统的金融服务机构参与者。在开放银行生态系统中,监管机构是另一组重要的运营者,它们的职责是进行监督、执行银行法规,以及制定规则与标准,以便在更广泛的金融服务领域管理数据共享和安全性。

开放银行也依赖于一系列关键技术。其中最主要的是 API,它们作为接口,推动了应用与其他应用、服务或平台之间的通信及数据交换。在开放银行环境中,通信及数据交换的主体包括银行、第三方提供商和客户,有时还涉及数据聚合商。为了确保这种数据交换免受攻击,必须采取强有力的安全措施(包括加密、身份验证和授权,以及数据共享协议等),以维护数据隐私,并防范网络攻击、数据泄露和未经授权的访问。

开放银行 API

API 为银行提供了一种安全且标准化的途径,使其能够与第三方提供商共享客户的金融数据。

API 在开放银行中的作用

API 是实现开放银行技术的关键。它将确保双方都能在无需了解对方架构复杂细节的前提下,理解和操作对方的系统。通过采用严格的授权机制,银行可以细化管控将通过 API 获取的数据,从而确保第三方仅有权访问其所需的数据,别无其他。API 或 API 网关通常包含审计功能,允许银行监控和追踪对数据的访问,有助于发现可疑或未经授权的活动,并维护“谁在何时访问了什么数据”的记录。

开放银行 API 标准

为了在开放银行系统的实体之间实现安全的数据共享和交换,共享的 API 标准和协议至关重要,它们将保障数据的一致性、安全性和互操作性。这些标准和协议包括:

  • OAuth(开放式授权),这是一种实现安全授权和身份验证的授权协议,在 API 中得到了广泛应用。它允许第三方应用在不暴露用户凭证的前提下访问用户数据。
  • RESTful API(表现层状态转换 API),这是一种轻量级 Web API 架构,用于设计网络应用。RESTful API 的设计目标是在不同的软件系统之间实现通过互联网的通信和数据交换,这使它成为了构建 Web 服务的热门选择。RESTful API是无状态的,这意味着从客户端到服务器的每次请求都必须包含理解和处理请求所需的所有信息。
  • JSON Web令牌 (JWT),这是一种紧凑、基于开放标准的数据传输方法,能够在双方之间以简洁、自包含且安全的方式传输数据。JWT 被广泛应用在基于令牌的身份验证和授权中。
  • SSL/TLS加密,这是一种用于保障网络浏览安全的安全框架,它提供了高级别的安全性,有助于实现安全的通信和身份验证。TLS 协议的最新版本是 TLS 1.3,其中引入了一项名为完美前向保密 (PFS) 的重要新安全功能。FPS 协议中使用的密钥交换机制是针对每次会话动态生成的,并且仅用于该会话。这意味着,即使攻击者获取了用于加密当前通信的私钥,PFS 仍能确保其无法解密过去或未来的通信。

开放银行 API 的应用场景

开放银行 API 使金融科技公司和第三方提供商能够推出新鲜而有创意的金融解决方案,包括:

  • 账户聚合,将多个金融机构或账户(如银行账户、信用卡账户、投资账户和贷款账户)的财务信息整合到单一视图中,使客户能够在统一的界面中查看其整体财务状况。开放银行 API 可以安全地访问和检索来自不同银行和机构的账户信息,使消费者能够更便捷地管理财务状况,跟踪支出,设定预算,并做出明智的财务决策。
  • 支付发起,这是一种电子支付交易形式,允许消费者无需使用支票或信用卡等传统支付工具,直接从银行账户付款。支付发起服务提供商 (PISP) 会使用开放银行 API 将资金从原始银行账户转移至收款方的银行账户,与传统支付方式相比,这种方式更快、更高效,交易费用往往更低。
  • 信用评分,即根据消费者的财务历史和行为评估其信用。开放银行 API 能够实时拉取财务数据,构建更准确、更有依据的信用档案。

开放银行安全吗?

为了保护金融数据和交易的机密性、完整性以及可用性,开放银行在运营中采用了多重安全措施。尽管这些安全措施显著增强了开放银行的安全性,但任何系统都无法做到绝对零风险。网络安全威胁瞬息万变,新的漏洞随时可能出现。虽然开放银行通常是安全的,但其安全性在很大程度上依赖于实施标准化安全实践并遵守相关规定。

在欧盟,开放银行受 PSD2(《支付服务修订法案》第 2 版)中健全的监管框架约束,其针对客户身份验证、数据保护和安全性,向银行和第三方提供商颁布了严格的标准。虽然美国并未对开放银行设立专门的监管框架,但在美国,与银行业务相关的活动受一系列现有金融规章和数据保护法的管辖,这些规章由货币审计署 (OCC)、联邦储备系统和消费者金融保护局 (CFPB) 等联邦机构制定。金融数据交换组织 (FDX) 也在美国发挥着重要作用。FDX 是一家由北美最大金融服务机构的代表组成的非营利组织,专注于开发通用的可互操作数据标准,即 FDX API 标准。

此外,开放银行解决方案的设计本身就配备了安全措施,用以保护金融数据和交易的机密性、完整性和可用性。银行和第三方提供商必须为其 API 实施强大有效的安全措施,包括访问控制、速率限制和威胁监控,以防范未经授权的访问和攻击。对于访问金融数据和发起支付,开放银行还必须严格地验证客户身份,并采用加密协议保障银行、第三方提供商和消费者之间的数据传输安全。

开放银行的益处

开放银行加速了更加现代化的数字金融服务与众多成熟银行机构之间的整合。它为消费者带来了诸多益处,拥有改变金融服务行业格局的潜力,将使金融服务更加以客户为中心,效率更高,包容性更强。

提升客户体验

开放银行允许客户接触更广泛的金融产品和服务,远远超出了单家银行通常所能提供的。将一系列服务集中展示在单个统一的仪表板上,意味着客户可以在同一个地方(通常是一个移动应用或平台)查看和管理他们在不同银行或金融机构的多个账户。这简化了财务管理,并为客户提供了其财务状况的全面概览。支持无摩擦身份验证的服务在维护严格访问安全性的同时,还可以通过消除对 CAPTCHA 或 MFA 等安全问题机制的使用,进一步简化客户体验。

加强竞争和创新

开放银行打破了传统壁垒,使新进入者能够提供新型金融产品和服务,这推动了金融行业的竞争和创新。这些新兴参与者可以通过在银行和金融业务中另辟蹊径,挑战成熟的银行和金融机构,也能够提供更加定制化的金融产品和服务,更好地满足客户的财务需求和目标。此外,银行和第三方机构之间竞争加剧,可能会推动金融产品和服务的价格下降,客户将从更低的费用、更高的利率以及更完善的条款和条件中受益。

金融包容性和可及性

开放银行也有助于将金融服务延伸至缺乏传统信用记录的边缘人群。通过评估非传统金融信息源(如公共服务缴费记录和租赁记录),个人将有机会获得在其他情况下可能被拒的贷款和金融产品。

开放银行的挑战和问题

开放银行创造了诸多益处,但也伴随着一些挑战和问题,需要加以解决,才能确保顺利实施和采用这项技术。

数据隐私和安全

人们最为担忧的问题是,开放银行中的客户数据可能存在被盗用或滥用的潜在风险,这种担忧源于相关财务信息固有的敏感性。客户需要得到一种保证:他们能够保持对自己金融数据的控制,并且存在一些严格的安全措施,用来帮助保护客户的数据,确保他人只有在得到授权的情况下才能访问和使用这些数据。安全性薄弱可能会导致数据泄露,将敏感的客户信息暴露给网络犯罪分子和恶意行为者。

监管合规性

开放银行的监管环境可能较为复杂,不同区域的标准不尽相同,例如欧洲采用的是 PSD2 标准。如果金融机构和第三方提供商要在合规标准各不相同的多个国家或地区运营业务,就必须熟悉这些法规;而要确保在不同系统之间实现互操作性,并且遵守多个监管框架,将会面临技术上的挑战。此外,当产品和服务跨越监管边界时,有效执行开放银行标准,并问责违规方可能会变得困难。

数据泄露和欺诈的风险

在银行和第三方提供商之间共享客户财务数据将增加数据泄露的风险,而健全的身份验证和加密机制对于保障客户及其账户信息的安全至关重要。此外,为了与第三方提供商或开放银行生态系统中的其他方共享客户财务数据,必须获取、跟踪和管理客户的明确同意,这将是一个复杂难懂的过程。为了确保客户的同意不被滥用,并且只有在得到客户明确许可,符合数据保护和隐私法规的前提下,才能访问和使用客户的数据,明确且易于用户理解的同意机制必不可少。

开放银行的未来

随着客户不断追求更加现代化的银行服务,开放银行的发展势头将持续强劲。同时,技术的进步以及对安全问题和网络攻击泛滥的进一步关注也将对开放银行的发展产生影响。

开放银行技术的演化

人工智能 (AI) 和区块链等新兴技术有助于增强安全性,并实现创新型金融服务,因此具备显著影响开放银行未来的潜力。AI 驱动的安全解决方案可以实时分析海量数据,检测欺诈活动和异常状况,并通过实现更加强大的身份验证机制,增强开放银行平台的整体安全性。区块链技术是去中心化金融应用的关键,它们通过去中心化的贷款、借贷和金融资产交易,直接实现了个人之间的点对点交易,绕过了银行和支付处理商等传统中间机构。这些创新将进一步颠覆传统银行服务,并拓宽开放银行的应用范围。

此外,监管的变化、技术的进步以及消费者的需求共同创造了一种势头,将推动全球金融环境形成更紧密的互联互通和更激烈的竞争。随着开放银行倡议不断得到推广,越来越多的国家或地区开始采用开放银行法规和标准,实现跨境互操作性的需求变得至关重要。人们需要标准化的协议和方法来推进金融数据和服务的无缝跨境交换,这将使客户能够在国际旅途或跨国业务中无缝访问金融服务。

开放银行也象征着金融行业从以产品为中心到以客户为中心的根本性转变。它将客户置于战略重心,强调提供个性化的服务和体验,让开放银行业务有机会使用数据分析和 AI 提供量身定制的建议、投资方案和储蓄策略,以满足不断变化的客户需求。

银行业面临的潜在冲击

虽然客户可能已经发现,开放银行提供了更优质的整体银行体验,但开放银行的活力可能会在银行业中引发一阵动荡,随着竞争的加剧,传统银行面临着改善服务、降低费用和改革创新的压力。由于技术上的局限性和高昂的系统升级成本,采用老旧 IT 系统的传统银行备受束缚,无法跟上更为灵活的金融科技竞争公司的步伐,因此,这些传统银行可能难以与开放银行竞争。开放银行还减少了对金融交易中间机构的需求,使绕过传统银行成为了可能。这种去中介化可能对银行收取贷款发放费用及其他收入来源造成影响。

然而,开放银行新进入者与传统金融机构之间的关系并非必然对立。传统银行和金融科技公司之间可以通过合作,建立互惠互利的合作伙伴关系,使传统银行能够保持竞争力,推动创新,并完善其产品服务。通过与金融科技公司协作,传统银行能够向客户提供更广泛的金融产品和服务,满足各种需求和偏好,并接触以往未曾开发的市场或目标群体。开放银行创造了让双方的优势和产品形成互补的机会。

F5 能够提供哪些帮助

开放银行提供了跨越多个平台访问和管理金融信息的潜力,带来了去中心化的银行服务、新型支付功能,并为金融服务创造了更具创新性和个性化的商业模式。然而,开放银行生态系统中的金融数据共享也伴随着多种网络安全和数据隐私方面的风险,银行和第三方提供商必须在其 API 中采取健全的安全措施(包括加密、身份验证和授权,以及数据共享协议),以维护隐私,并防范网络攻击、数据泄露和未经授权的访问。

F5 提供了一套全面的银行和金融服务网络安全产品,将为 API、应用以及它们驱动的开放银行服务提供坚实的保护。这些解决方案可保护各种架构、云服务和生态系统集成中的 API 和应用,在削减 API 总体安全成本的同时,也降低了风险和运营复杂性。了解 F5 解决方案如何通过引入积极的 API 安全模型来保护开放银行 API,在提升风险管理能力的同时,为金融服务行业的数字化创新提供支持。