开放银行(二)| 国外开放银行相关的法规、标准
发布时间:2021-02-03 07:43:42|浏览次数:1876
国外开放银行相关法规、标准
01 PSD2 & NextPSD2
这是欧盟的银行支付系统规范,PSD2是法规,NextPSD2是工作组在法规基础上公开的API标准。
PSD2法规
法规的目标:
● 更好保护用户支付安全
● 支持更多的场景,开放银行
● 欧盟内部跨国家支付安全
重要时间节点:
● 15.11.6,欧盟议会通过PSD2,,各成员国有两年的时间,将这个法案变成国内法规
● 17.11.27,Commission delegated Regulation (EU) 2018/389补充了技术部分,包括:
(1) SCA:强身份认证(Strong Customer Authentication)
(2) CSC:传输安全标准(common and secure open standards of communication),eIDAS中,也有相关定义,在ETSI TS 119 495中
● 2018.1.13,银行业开始部署、实施符合此规范
● 2019.3.14,银行对外接口,可以供PISP和AISP测试
● 2019.9.14,银行业要完成除SCA之外的改造
● 2020.12.31,完成SCA的改造
法规要求:
● SCA:强身份认证
● CSC Secure API:通信加密、对TPP的授权认证
● 合法的机制获取用户同意
https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money 这个网址可以查到相关的规范内容
https://www.eba.europa.eu/sites/default/files/documents/10180/1761863/314bd4d5-ccad-47f8-bb11-84933e863944/Final%20draft%20RTS%20on%20SCA%20and%20CSC%20under%20PSD2%20%28EBA-RTS-2017-02%29.pdf?retry=1
这里可以看到对CSC和SCA最主要的规范要求,
简单总结如下:
SCA认证需要具备能力:
(1) Authentication Code:三种认证类型中至少两种(“所知”、“所是”、“所有”),最终生成一段code,来完成支付
(2) 关联性:auth code需要与交易信息关联
(3) 对于“所知”的认证方式需要具备的必要条件:
(3.1) 防止密码泄漏等问题
(4) 对于“所有”的认证方式:
(4.1)需要考虑认证元素被复制
(5) 对于“所是”的认证方式对于设备和软件的安全要求:
(5.1) 要防止攻击者,拿到设备和软件后,可以使用其“所是”的认证要素
(6) 元素的独立性:
(6.1) 三种认证方式,要互不关联。意味着一个被攻破,另一个是安全。
(6.2) 如果使用多用途设备,比如手机、pad,需要用一些方式来减轻风险:
(6.3) 使用tee、se等独立安全空间
(6.4) 可以判断当前设备是否是不安全、被篡改
CSC的要求和标准:
○ 标识要求:确保身份正确
○ 可追溯:全部操作需要记录
○ 需要遵循的规范:证书和签章
NextPSD2标准
依据PSD2的规范,定义了需要实现的接口、接口的技术细则、安全要求(致力于标准化PSD2账户访问(XS2A)API,使TPP更容易以标准化的方式访问客户银行账户,PSD2是规范性质标准,并不对某些API进行细致要求。)
https://www.berlin-group.org/nextgenpsd2-downloads NextPSD2标准的下载地址
https://www.berlin-group.org/nextgenmp2p-download-page 手机端认证标准的下载地址
XS2A是标准定义的接口,分为如下类型:
● PIS(Payment initiation service):付款服务
● AIS(Account information service):账户信息服务
● FCS(Fund confirmation service):基金信息服务
对于SCA,设计了四种认证场景:
● Embedded:otp、验证码、用户口令的机制
● Decoupled:推送确认
● Redirect:Oauth2的流程
● Integrated:同oauth2的相似,只不过协议自定
安全要求:
● ASPS和TPP的相互识别:可以使用eIDAS的证书,来验证TPP
● ASPSP通过SCA对PSU的验证:强SCA,符合PSD2中要求的包括auth code、动态链接性等能力
● 通信数据加密:主要采用TLS
● 防欺诈:通过PSU的设备数据和其它数据
02 FDX:Finance Data Exchange
这个组织是一个非盈利联盟,主要以美国和加拿大为据点,目标是使客户可以安全访问其金融数据。官网:https://financialdataexchange.org/ 。
五大原则:
● Control:用户拥有其金融数据的控制权
● Access:用户可以访问自己数据、决定哪些第三方服务可以访问自己数据
● Transparency:用户有权知道自己的数据如何、合适、为什么分享给第三方
● Traceability:数据交换要可记录
● Security:数据提供方需要确保数据安全
定义的标准:
● FDX API v4.5
● User Experience(UX) Guidelines v1.0:交互指导
● Personal Financial Managment(PFM) Use Case:个人财务管理(PFM)用例
● Taxonomy of Permissioned Data Sharing:许可数据分享的分类标准
● FDX Financial-Grade API Security Specification v3.2:FDX金融级API安全规范v3.2
● Control Considerations v3.2:控制注意事项v3.2
● Foundational Requirements v1.0:基本要求v1.0
03 Open Banking
这是英国的开放银行协议,由CMA(UK Competition and Markets Authority)制定,官网:https://www.openbanking.org.uk/
该标准的目的:
● 允许初创公司有资格访问大行的用户数据,金融创新。
整个标准,基本上是基于Oauth2、OIDC来做用户认证、授权管理。在这两套标准之上,开发了Finance Grade的授权、认证标准:FAPI。
标准详情:https://standards.openbanking.org.uk/
API Specifications:
○ 读/写数据API的规范(Read/Write Data API Specifications):需要读写的接口,比如账户、交易、贷款、结余
○开放数据API规范(Open Data API Specifications):银行的开放数据,比如ATM位置
○ 目录服务(Directory Specifications)
○动态客户端注册(DCR)规范(Dynamic Client Registration (DCR) Specifications):TPP如何动态在ASPSP中注册
○ MI报告规范(MI Reporting Specifications):监管,ASPSP需要定期向监管部门提交数据
Security Profiles:安全规范,全部基于OIDC的标准
○ FAPI 概述(Financial-grade API - Part2:Read and Write API Security Profile):金融级别认证需要的能力
○ CIBA 概述(Financial-grade API:Client Initiated Backchannel Authentication Profile):针对解耦的场景,如何进行认证
客户体验指南:UX的用户体验指导
操作指南
整体架构图:
对认证的要求:
● 设计了两种认证场景,分别是redirect和decoupled
● 需要遵循X.1254标准中AAL3级别:
(1)需要两种认证因子
(2)应使用基于硬件的认证器、且提供验证方法。
(3)这里着重讲了FIDO认证标准,算是最标准的认证方式。
对授权的要求:
● 必须遵循OIDC、OAuth2的标准
04 OpenAPI
香港的银行开放API标准,规定了各银行需要开放的API,由金管局制定。官网:https://www.hkma.gov.hk/gb_chi/key-functions/international-financial-centre/fintech/open-application-programming-interface-API-for-the-banking-sector/。
标准分四个阶段:
由于疫情,读取账户咨询、交易标准未公布。
每一种API的安全要求:
● 银行产品和服务资料:
○ 认证银行网站
○ 验证数据完整性
○ 验证第三方服务
● 接受银行产品申请:
○ 认证银行网站
○ 验证数据完整性、可信性
○ 验证第三方服务
● 读取或更改账户咨询和进行交易
○ 认证银行网站
○ 验证数据完整性、可信性
○ 验证第三方服务
○ 认证客户
安全所遵循的标准:
● X509证书:用于认证网站
● TLS:数据完整性、加密
● Oauth2.0:用户授权管理
对认证的要求:
● 银行同TSPs间认证:使用X.509
● 客户同银行间认证:银行自定义
对授权的要求:
● 符合OAuth2.0标准
05 CDR:Consumer Data Right
这是澳洲的标准,也是基于OAuth2、OIDC来做用户认证、授权管理。
认证和授权的标准:
● OIDC Hybird
● CIBA