開放銀行 Open Bankning - 昕力資訊TPIsoftware

什麼是開放銀行 (Open Banking)？

Open Banking 起源於 2015 年歐盟的 The Revised Payment Services Directive (PSD2)，隔年（2016）八月，由英國率先要求其國內九家大型銀行要採用，並於 2018 年強制導入，之後各國政府如美國、澳洲、新加坡也紛紛定相關法令，鼓勵銀行加入 Open Banking 的行列。而這股風潮也從歐洲吹向台灣，2019 年，台灣金管會拍板定案，將台灣 Open Banking 導入分為三階段。

台灣開放銀行三階段

2019

第一階段

公開資訊開放

開放商品資訊，
如：匯率、房貸利息等。

2020

第二階段

個人資訊開放

可透過第三方APP整合
個人銀行帳戶及查詢餘額等。

2021 Q1

第三階段

全面開放

可透過第三方產品
進行支付、交易、轉帳等。

台灣開放銀行三階段

Open Banking 風潮正揚起，昕力資訊 digiRunner 提供完善功能的企業級 API 管理平台，賦能金融機構與第三方平台於資訊運用有更高的彈性，除了可以建立新的商業模式，也可藉由第三方平台的服務提供更好的使用者經驗、擴大市場應用場景及生態圈。

昕力資訊實現三階段開放銀行規範

昕力資訊 digiRunner API 管理平台反應台灣開放銀行金管會法規要求，透過一致的標準規格與安全控管機制，加速金融業者與 TSP 業者更廣泛的合作，達到業務延伸拓展效益。

傳統銀行 VS 開放銀行

傳統銀行服務高度中心化、彈性小，用戶服務轉換成本高

消費者

銀行

金融服務

傳統銀行 VS 開放銀行

開放銀行與多方業者同盟，服務開發彈性高，更貼近用戶需求

消費者

服務提供商（TSP）

金融服務

銀行

各階段開放內容

各階段開放內容，包含如下

第一階段-公開資訊開放

資訊整合
效率提升

digiRunner API 管理平台擁有專利的服務不中斷熱部署特點，在跨平台開發速度以及與下游應用系統的對接效率提升高達 50%；其 API 自動探索、即時告警、交易控管等功能，能做到傳輸層、資料層及行為層的安全控管，讓 IT 人員毋須煩惱主機平台的資安，且可從平台直接對不同系統進行授權，免除過去修改程式的程序，大幅減少管理與維運的時間。

第二階段-個人資訊開放

授權機制
面面俱到

符合 Open Banking API 規格，個資、交易機敏資訊防護面面俱到。從資料傳輸層「隱密性、完整性、訊息來源、不可重覆」、資料層（資料完整性驗證、機敏個資加密、防駭攻擊）、行為層（OAuth2認證機制及授權時效、Client 授權及 IP Check）全方位防堵資安風險，協助整合行內現有 Token 機制，有效管理 API 用戶包含授權模式、流量控管。

第三階段-交易資訊開放

金融數據
安全共享

藉由全方位 digiRunner API 管理平台架構實現開放銀行最終目的，在用戶同意下，TSP 業者可在整合帳戶資訊後透過 APP 連結帳戶付款、扣款、交易，真正達到「金融數據安全共享」，推動銀行和科技公司的合作創新，提供給消費者更佳完善的金融歷程體驗。

安全合規的技術架構

昕力資訊專業顧問團隊，協助規劃建立符合各國開放銀行規範之技術架構。實現開放銀行，安心又快速。

安全合規的技術架構

昕力資訊專業顧問團隊，協助規劃建立符合各國開放銀行規範之技術架構。實現開放銀行，安心又快速。

客戶端

TSP 業者

銀行端

銀行或外部驗身

未加密 HTTP

加密 HTTPS

用戶

1 會員
啟用銀行服務

TSP驗證使用者

2 流程示意

Figure A

3 回傳銀行授權

傳送 Authorization
Code 至 TSP

7.3 結果回傳

返回取用API 資源

TSP Server
第三方業者

4 要求
存取授權

傳送 Authorization
Code 至銀行端

6 回傳授權

回傳 access_token

＊採取 JWE token

7.1 要求
取得資訊

使用 Access_token
取用 API資源

OAuth Server
(Bank or APIM)

Resource
Server
APIM

5 外部驗證

呼叫 API 外部驗證

7.2 取得資源

取得銀行提供之服務

Identity Sever
(支援第三方或銀行驗證Sever)

銀行後台
系統服務

Figure A

透過 TSP app 與 OAuth server 溝通

客戶登入

登入網路銀行

1. 核身畫面彈出 (外部URL)
2. User 輸入 ID/PWD

階級/服務選項

依階級開放功能

3. 驗證成功，取得 TSP Server (Client) 可取用Group List
4. 跳頁面供User勾選同意授權

驗證碼輸入

銀行回傳授權許可

5.取得Authorization Code

用戶在授權TSP處理相關銀行資訊時，不會留下或儲存用戶帳密紀錄，而是透過用戶授權才能整合相關資訊

如何選擇 API 管理平台？

選擇一個對的 API 管理平台，除了提高彼此 API 對接的效率外，也能大大的降低內部人員管理 API 時間，是雙方在邁入 Open Banking 時代過程中，不可或缺的好幫手。現在市面上的 API 管理平台，都提供介接格式統一及資料加密的功能，除此之外，如果平台還有提供圖形化的操作介面，讓任何人都可以馬上上手操作，也可省下內部熟悉系統及管理的時間，另外平台是否提供外部合作夥伴的權限控管功能也是一個考慮的重點；在身份驗證及 API 授權部份，現今各國的作法大都是參照 Oauth2 的規範再去做加強管理，因此選擇一個滿足所有身份驗證方法及授權規範的平台也可以幫助金融機購及 TSP 節省另外開發相關 API 的時間。