Open Banking TSMP Open API

開放時代風暴來臨, 金融服務對策揭秘

戴穎玲 2019/12/19 10:24:03
259

TSMP|「開放時代」風暴來臨,Fintech金融服務因應對策揭秘

近年來因應金融科技、法規與消費者需求與行為改變,金融業營運模式變革與挑戰愈來愈多元,從業務範疇擴大、多樣性增加、異業合作關係產生、日益增多的異質平台整合、不斷變動的法規、新的產業生態圈興起等,在Open Banking及創新服務背後,金融業者業務策略佈局及IT戰略思考,既期望透過異業結盟合作帶來的加值效益,郤又擔心客戶資料釋出後的個資保護問題及金管會法規,如何滿足消費者利益最大化、金融機構及TSP業者三贏的局面。

20197月金管會正式宣佈三家純網銀過關,另一波的金融市場版圖即將洗牌,同時金管會推動的臺灣開放銀行(Open Banking)三階段「Open API技術與資安共通標準」進行的如火如荼,第一階段「公開資料查詢」20196月已經上路,緊接著第二階段「消費者資訊查詢」規範內容也將在201912月揭露,Open API各項議題洐然成為Open Banking首要重點,包含消費者個資保護、資料傳輸安全機制、身分認證、授權等面向。各家公、民營金融機構在業務策略及IT佈局上速度各有不同、也有不同的內部因素夾雜,以下分享金融業導入Open Banking ~IT面臨因境與挑戰:

l   法規變革,客戶資料開放~資安問題,既期待又怕受傷害

銀行資安官為銀行端個資安全守門員,現在官網或APP應用皆屬於行內部行為控管,並符合金管會各項資安要求,現況與外部金流串接也僅限於交易資料,未涉及客戶個資機敏內容釋出,但是面臨業務創新客戶資料釋出與資訊安全二個議題郤拉距不下,就算簽署MOU仍難以稽核TSP業者資料保存安全問題,資安官職責所在無法放行,大多期待201912月底財金釋出第二階段規範,有法規的背書之下客戶資料開放議題才能更順利推動。

銀行端要能符合Open Banking第二及第三階段規範,從資料傳輸層「隱密性、完整性、訊息來源、不可重覆」、資料層(資料完整性驗證、機敏個資加密、防駭攻擊)、行為層(OAuth2認證機制及授權時效、Client授權及IP Check)必須面面俱到,行內既有Token機制如何由平台整合,如何有效管理API用戶包含授權模式、流量控管等議題,是目前各家資安把關重大議題。

l   新資訊架構與資安布局

多家銀行紛紛傳出透過Open APITSP業者合作的消息,創新服務應用大勢所趨,過往ESB扮演行內資料介接重要角色,隨著IT科技日新月異,新的技術及架構作法已可取代舊有作法及過往須耗用大量人力管理的各項問題,如內外部多種介接格式作法不一、人力汰換舊技術無人可維護,IT治理面臨勢不可擋改變。近幾年微服務模式的發展,最新容器管理技術架構,整體系統在虛擬化平台上運行,為確保API運行擴充性及失敗復原能力、依照資源使用狀況自動彈性擴充,並結合API平臺管理導入

想要輕鬆搭上Open Banking列車,作為內外溝通API Gateway,必須滿足既有API服務納管、支援API部署運行、輕量API開發介面,CIO 面臨Open API資安佈局建置一個API管理平臺是必然的選擇。

l   歷經專案粹練孕育而生~TSMP API管理平台

2015年歐盟開始推動開放銀行API浪潮隨之崛起,昕力於2017年因應某外商銀行信用卡系統需求打下API Gateway設計的基礎,API效能指標以高效能、高穩定性之金融交易並整合銀行主機電文,上線時掛載超過100API,二年內同時上線人數超過1000人,建構了完整功能的中台API服務。

       打造API Data Cache之高效能設計

       系統流量控管,確保系統服務穩定性

       完整Session管理機制(Create, Validate, Expire)

       容錯架構,實現Session Fail-over

       金融帳務交易時防止重複交易

       金融帳務交易時進行第三方SignCode驗證,確保交易資料完整性

       非同步服務進行銀行主機電文收發整合

       系統排程服務

2018年正式推出自有品牌產品「TSMP (ThinkPower Service Management Platform) 」聚焦於企業級API管理平臺,提供API設計發佈及運行、流程式開發功能、存取權限控管、交易安全管理、TokenSession管理等功能並提供各式管理報表,一個平台即可滿足企業所有開發及管理需求,至2019年底至TSMP API管理平臺已成功導入國內前幾大金融機構及臺北市政府,預計2020年也將以推廣台灣自製研發產品推出TSMP Express Edition Free Download,各項大數據分析應用也將陸績推出,期望帶起國內Open API應用另一波技術風潮。

戴穎玲