Dyrektywa PSD2 i otwarta bankowość
Świat idzie do przodu, a razem z nimi usługi finansowe. Nie wyobrażamy sobie życia bez bankowości elektronicznej, robienia zakupów w internecie, czy też posługiwania się na co dzień kartą płatniczą. Nowe technologie to także nowe wyzwania w kwestii bezpieczeństwa i to właśnie na te wyzwania odpowiada Dyrektywa PSD2, która ma na celu zarówno uregulowanie obecnie funkcjonujących nowoczesnych rozwiązań finansowych, jak też zwiększenie bezpieczeństwa płatności i danych klientów, czyli każdego z nas.
Dyrektywa PSD 2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego) to dyrektywa unijna, która nakazuje bankom zapewnienie dostępu do rachunków swoich Klientów zewnętrznym podmiotom świadczącym usługi związane z inicjowaniem płatności, bądź z dostarczaniem informacji o rachunkach (określanym jako third party providers, w skrócie TPP), czyli na przykład innym bankom, fintechom, serwisom płatniczym. Każdorazowo na taki dostęp musi wyrazić zgodę Klient. Dyrektywa nakłada na banki również wymóg stosowania tzw. silnego uwierzytelnienia (strong customer authentication, w skrócie SCA) przy części operacji i transakcji. Zmiany wchodzą w życie 14 września.
Celem dyrektywy jest m.in:
- uregulowanie nowych rozwiązań finansowych, ujednolicenie rynku płatności i zwiększenie konkurencyjności,
- zapewnienie najwyższych standardów bezpieczeństwa płatności, m.in. poprzez wprowadzenie tzw. silnego uwierzytelniania (w Citi Handlowy m.in. SMS lub usługa Citi Mobile Token),
- wprowadzenie w życie konceptu tzw. „otwartej bankowości”, czyli otwarcia rynku usług płatniczych na podmioty trzecie – mogą być nimi podmioty trzecie zajmujące się usługami płatniczymi, które uzyskają zgodę regulatora (w Polsce KNF). Są to kategorie usług świadczonych przez firmy trzecie, które uzyskają status Third Party Provider (TPP). Firmy te mogą świadczyć dwie kategorie usług: Payment Initiation Service (PIS) - to usługa inicjowania transakcji płatniczych, dzięki której firmy trzecie będą mogły realizować płatności w imieniu klienta (po podaniu danych do logowania w bankowości internetowej przez klienta) oraz Account Information Service (AIS) - to usługa dostępu jedynie do informacji do rachunku poza serwisem transakcyjnym swojego banku (klienci będą mogli uzyskać dostęp do informacji o stanie konta bankowego czy historii transakcji)
- lepsza ochrona konsumentów i ich danych
Co zmieniła dyrektywa PSD2?
- Skróciliśmy czas rozpatrywania reklamacji i zwrotu pieniędzy w przypadku transakcji nieautoryzowanych
- Zmniejszyliśmy kwotowo odpowiedzialność klienta za transakcje nieautoryzowane – ze 150 euro do 50 euro.
- Zmieniliśmy sposób rozliczania kosztów przelewów na terenie Europejskiego Obszaru Gospodarczego.
- Zwiększyliśmy bezpieczeństwo płatności: m.in. dzięki wprowadzeniu tzw. silnego uwierzytelniania (SCA) – Citi Mobile Token, który jest niezbędny do wykonania wszystkich transakcji kartą w internecie.
- Wprowadziliśmy wygodniejsze zarządzanie finansami i zlecanie płatności: możliwość podglądu wszystkich rachunków bankowych z różnych banków za pośrednictwem jednego, wybranego systemu (w bankach świadczących taką usługę) oraz możliwość zlecenia przelewów poprzez TPP. Proces inicjowania płatności za pośrednictwem podmiotów trzecich działa podobnie do obecnie funkcjonującego szybkiego przelewu (tzw. Pay by link).
- Poprawiliśmy bezpieczeństwo logowania – co 90 dni podczas logowania do Twojej bankowości elektronicznej może wystąpić konieczność zastosowania silnego uwierzytelnienia, m.in. z wykorzystaniem Citi Mobile Token lub jednorazowego kodu SMS. Dodatkowo czas sesji logowania w Citibank Online został skrócony z 8 minut do 5 minut.
- Zwiększyliśmy ochronę płatności zbliżeniowych – transakcje zbliżeniowe poniżej 50 zł nadal nie będą wymagały podania PIN-u, aż do momentu wydania kwoty na łączną sumę 100 euro – wtedy Klient zostanie poproszony o autoryzację kodem PIN.
- Wyłączyliśmy opcję weryfikacji tożsamości w kanale IVR za pomocą numeru PESEL - zachęcamy do korzystania z usług bankowości elektronicznej Citibank Online, aplikacji Mobilnej Citi Mobile lub uruchomienia usługi Identyfikacji Numeru Przychodzącego w Citi Phone.
Czy otwarta bankowość jest bezpieczna?
Tak jak wspomnieliśmy, jednym z celów wprowadzenia Dyrektywy PSD2 jest zapewnienie wysokich standardów bezpieczeństwa na rynku usług finansowych.
Dlatego to Klienci decydują kto i kiedy może korzystać z tych danych. Prośba o udostępnienie danych do podmiotów TPP powinna zostać poprzedzona prośbą o wyrażenie zgody u tych podmiotów. Raz wyrażona zgoda może w każdej chwili zostać wycofana w firmie, w której została udzielona. Dodatkowo skorzystanie z usług podmiotów TPP będzie wymagało uwierzytelniania w formie logowania do bankowości internetowej Citibank Online. Oprócz tego dane naszych klientów są chronione przez nowoczesne technologie.
Modele współpracy z Citi Handlowy opartej o API:
Komercyjny
W oparciu o umowę między Partnerem a Citi Handlowy, Partner konsumuje wybrane API. Przykładem takiej współpracy może być wykorzystanie API akwizycyjnego, które pozwala Partnerowi na oferowanie produktów Citi (zbieranie wniosków lub pełen proces aplikacji o kartę kredytową).
Regulacyjny w oparciu o dyrektywę PSD2
Podmioty licencjonowane (tzw. TPP) na bazie dyrektywy PSD2 mogą od 14 września 2019 r. uzyskać dostęp do otwartych API w zakresie dostępu do informacji o rachunku (AIS), inicjacji płatności (PIS) oraz potwierdzenia dostępności środków na rachunku (CAF) bez konieczności zawierania z umowy z Citi Handlowy.
Dostęp do otwartych API
Zgodnie z wymogami PSD2, Citi Handlowy udostępnia otwarte API (Application Programming Interface), aby umożliwić bezpieczne połączenie między bankiem a zewnętrznymi dostawcami usług płatniczych (TPP).
TPP autoryzowany przez krajowy organ regulacyjny, jako dostawca usługi dostępu do informacji o rachunku lub dostawca usługi inicjowania płatności, może skorzystać z tego linku , aby uzyskać dostęp do naszego portalu API (Citi Partner Portal), gdzie znajdują się wszystkie informacje potrzebne do udanej integracji z Citi Handlowy.
TPP mogą skorzystać z otwartych API w środowisku produkcyjnym, zgodnie z zakresem swojej licencji.
Aby skorzystać z otwartych API, z katalogu API na Citi Partner Portal wybierz „Poland” a następnie:
Accounts API dla usługi AIS oraz CAF
Money Movement API dla usługi PIS
Dostęp TPP (ang. Third Party Provider) do otwartych API w zakresie PSD2 będzie wymagał legitymowania się przez TPP certyfikatem eIDAS. Szczegóły dotyczące integracji z Citi API dla TPP znajdziesz w katalogu API na Citi Partner Portal, w zakładce „Poland”
Dostęp do API komercyjnych
API wspierające komercyjny model współpracy z Citi Handlowy zostały wymienione w Katalogu API na Citi Partner Portal, w zakładce „Poland”. Na Portalu dostępne są wszystkie informacje dotyczące ich struktury oraz dokumentacja deweloperska, pozwalająca na przeprowadzenie próbnej integracji aplikacji Partnera w środowisku testowym Sandbox, z wykorzystaniem dummy data. W przypadku komercyjnego wykorzystania API we współpracy z Citi Handlowy, taka integracja jest wymagana.
Pierwsze kroki w wirtualnym środowisku testowym (Sandbox) Citi Partner Portal
Dostęp do Sandbox’a Citi Partner Portal jest publiczny, co oznacza, że każdy może się w nim zarejestrować i w bezpiecznym środowisku przeprowadzić testową integrację ze swoją aplikacją.
Nasz Sandbox możliwie najwierniej oddaje strukturę środowiska produkcyjnego, dlatego ewentualna migracja do środowiska produkcyjnego powinna odbyć się bez większych problemów. Poniżej instrukcja jak to zrobić:
- Zarejestruj się na stronie Citi Partner Portal. W ciągu kilku dni otrzymasz maila z potwierdzeniem rejestracji i prośbą o potwierdzenie adresu mailowego przez kliknięcie linka rejestracyjnego.
Ważne! Rejestracja nie jest wymagana w przypadku TPP korzystającego z otwartych API, w zakresie zgodnym z PSD2. - Zaloguj się do Sandbox’a.
- Zarejestruj swoją aplikację (Register a New App) w sekcji API Keys.
- Kiedy aplikacja jest zarejestrowana, otrzymasz Client ID oraz Client Secret (są to dane poufne i zgodnie z Regulaminem Sandbox’a nie można ich nikomu udostępniać).
- Client ID to identyfikator, który służy nam do określenia kto próbuje uzyskać dostęp do API.
- Client Secret – to identyfikator służący do autentykacji i jest wykorzystywany w procesie autoryzacji zapytań wysyłanych poprzez API.
Ważne! W celu skorzystania z otwartych API, TPP nie musi rejestrować swojej aplikacji. Szczegóły dotyczące integracji z otwartymi API dostępne są w katalogu API na Citi Partner Portal, w zakładce „Poland”.
- Dokonaj autentykacji poprzez Authorize API z wykorzystaniem Client ID oraz Client Secret. Sandbox wykorzystuje powszechnie stosowany standard OAuth 2.0. W zależności od API, z którym zamierzasz się zintegrować, istnieją dwa sposoby autentykacji:
- Two-Legged – wykorzystywana w sytuacji, gdy Bank nie przekazuje do aplikacji podmiotu trzeciego danych wrażliwych lub poufnych (np. Onboarding API)
- Three-Legged – wykorzystywana w sytuacji, gdy Bank przekazuje do aplikacji podmiotu trzeciego dane wrażliwe lub poufne (np. w zakresie usług AIS/PIS – czyli dostęp do informacji o rachunku lub inicjacja płatności)
Ważne! Szczegóły dotyczące autoryzacji TPP dostępne są w katalogu API na Citi Partner Portal, w zakładce „Poland”.
- Dokonaj właściwej integracji swojej aplikacji z API Banku z wykorzystaniem zamieszczonej na Sandbox’ie dokumentacji. Sandbox umożliwia generowanie statycznych odpowiedzi na wysłane żądania API.
- Po pomyślnym przeprowadzeniu testów, prosimy o wysłanie zgłoszenia do Banku z propozycją współpracy. Zgłoszenie można wysłać używając danych kontaktowych znajdujących się na tej stronie lub poprzez formularz kontaktowy na Citi Partner Portal.
Dostępne kategorie API
W ramach Citi Partner Portal dla Polski dostępne są następujce kategorie API (w menu głównym wybierz API Products > Poland):
- Informacje o rachunkach (Accounts) – dostęp do informacji o rachunkach płatniczych (konta bieżące, oszczędnościowe, walutowe oraz karty kredytowe) w zakresie salda, historii transakcji oraz szczegółów rachunku.
Ważne! To API może być wykorzystane przez TPP w celu świadczenia usług AIS oraz CAF - Autoryzacja (Authorize) – pozwala zweryfikować klienta Citi Handlowy.
- Dane Klienta (Customers) – podstawowe dane dot. Klienta.
- Inicjacja płatności (Money Movement) – pozwala inicjować przelewy dostępne dla klientów Citi Handlowy, w tym darmowy i natychmiastowy przelew pomiędzy kontami Citi w różnych krajach (CGT – Citi Global Transfer).
Ważne! To API może być wykorzystane przez TPP w celu świadczenia usługi PIS - Akwizycja (Onboarding) – możliwość wysyłania do Citi Handlowy wniosków o karty kredytowe i pożyczki gotówkowe. Mogą to być tzw. krótkie wnioski zawierające podstawowe informacje o kliencie, jak również tzw. Długie wnioski - pełen proces aplikacyjny obejmujący wszystkie dane klienta, wstępną decyzję kredytową, dokumentację oraz weryfikację klienta.
- Płać punktami Citi (Pay with Points) – używanie punktów Citi do płatności online.
- Narzędzia (Utilities) – informacje dot. wartości, które mogą przyjmować niektóre API.
Raporty dostępności API
Poniżej znajdują się publikowane kwartalnie raporty z informacjami o dostępności dedykowanego interfejsu dostępowego, czyli naszego API funkcjonującego w ramach usług PSD2.
W raporcie znajdują się następujące dzienne dane odnośnie wydajności naszego API: dostępność, niedostępność, średnie czasy odpowiedzi i procent błędnych odpowiedzi.
Kontakt
Dzięki udostępnieniu wielu kategorii API, jesteśmy gotowi na tworzenie różnych modeli biznesowych.
Jeśli zapoznałeś się z naszym Sandboxem i masz pytania dot. Potencjalnej współpracy, prosimy o kontakt:
W obszarze bankowości detalicznej:
open.banking.poland@citi.com
W obszarze bankowości korporacyjnej:
helpdesk.ebs@citi.com
Dokładamy wszelkich starań, żeby odpowiadać do 3 dni roboczych.