1 Основные принципы и этапы внедрения Открытых API на финансовом рынке ОСНОВНЫЕ ПРИНЦИПЫ И ЭТАПЫ ВНЕДРЕНИЯ ОТКРЫТЫХ API НА ФИНАНСОВОМ РЫНКЕ МОСКВА 2024 API
Настоящий документ подготовлен Департаментом финансовых технологий. При использовании материалов выпуска ссылка на Банк России обязательна. Комментарии и предложения просим направлять по адресу: fintech@cbr.ru. 107016, Москва, ул. Неглинная, 12, к. В Официальный сайт Банка России: www.cbr.ru © Центральный банк Российской Федерации, 2024 ОГЛАВЛЕНИЕ ВВЕДЕНИЕ.............................................................................................................................2 1. РЕЗУЛЬТАТЫ ОБРАТНОЙ СВЯЗИ ПО КОНЦЕПЦИИ ВНЕДРЕНИЯ ОТКРЫТЫХ API.................................................................................................................... 4 1.1. Модель внедрения Открытых API.......................................................................................................................................4 1.2. Регулирование Открытых API..............................................................................................................................................5 1.3. Участники обмена и перечень данных...........................................................................................................................6 1.4. Сроки внедрения стандартов Открытых API.............................................................................................................. 7 1.5. Риски внедрения Открытых API.........................................................................................................................................7 1.6. Выводы по результатам обратной связи.......................................................................................................................8 2. ПРИНЦИПЫ ВНЕДРЕНИЯ ОТКРЫТЫХ API.............................................................. 9 2.1. Среда Открытых API и ее участники...............................................................................................................................9 2.2. Регулирование Открытых API.............................................................................................................................................9 2.3. Разработка стандартов Открытых API.........................................................................................................................10 2.4. Платформа коммерческих согласий.............................................................................................................................. 11 2.5. Информационная безопасность.....................................................................................................................................12 3. ЭТАПЫ ВНЕДРЕНИЯ ОТКРЫТЫХ API....................................................................... 14 3.1. Внедрение модели Открытых финансов.....................................................................................................................14 3.2. Внедрение модели Открытых данных..........................................................................................................................16 ПРИЛОЖЕНИЕ. ДОРОЖНАЯ КАРТА ВНЕДРЕНИЯ ОТКРЫТЫХ API...................... 17
2 Основные принципы и этапы внедрения Открытых API на финансовом рынке ВВЕДЕНИЕ В условиях масштабной цифровизации финансового рынка и других отраслей наличие достоверных и разнообразных данных о пользователях является неотъемлемым условием для развития инноваций и конкуренции, повышения качества и снижения стоимости услуг, а также предоставления выгодных персонализированных предложений клиентам. В международной практике Открытые программные интерфейсы (Открытые API) – один из основных инструментов для формирования открытой и конкурентной системы обмена данными. Так, порядка 70 стран уже внедрили или находятся на этапе принятия регулирования для применения Открытых API в банковском секторе, а более 40 стран рассматривают их использование и в других секторах финансового рынка1. Согласно прогнозам, к концу 2024 года число пользователей сервисов на основе Открытых API в мире вырастет практически в 5 раз по сравнению с 2020 годом и превысит 130 млн2. На протяжении последних пяти лет Банк России также осуществляет планомерное развитие Открытых API на финансовом рынке. C 2020 года Банк России начал публиковать стандарты Открытых API3 для банковского сектора, которые носят рекомендательный характер и устанавливают единые правила взаимодействия участников рынка при внедрении данной технологии. В 2021 году Банк России и финансовые регуляторы стран ЕАЭС провели трансграничный пилотный проект по использованию технологии Открытых API, в ходе которого банкиучастники обменивались информацией о расположении и графике работы клиентских офисов, банкоматов, а также курсах национальных валют. Обмен информацией проводился на основе единого стандарта, что позволило организовать бесшовный обмен данными между финансовыми организациями ЕАЭС. С целью обеспечения комплексного внедрения технологии Открытых API во всех секторах финансового рынка в ноябре 2022 года Банк России опубликовал для обсуждения Концепцию внедрения Открытых API на финансовом рынке4 (далее – Концепция), где изложил преимущества, вызовы, а также возможные варианты реализации данной инициативы. Учитывая, что обмен клиентскими данными5 посредством Открытых API может осуществляться только с согласия клиента, в Концепции была предложена идея создания Платформы коммерческих согласий, с помощью которой пользователи смогут управлять своими согласиями на обработку и передачу их данных в рамках информационного обмена между участниками рынка. Банк России получил обратную связь по Концепции от 166 организаций, которые представили свою позицию по предложенным в документе подходам к внедрению Открытых API в России, участникам информационного обмена и перечню открываемых данных, срокам разработки и публикации стандартов Открытых API, регуляторным и технологическим требованиям, а также оценили риски, связанные с внедрением Открытых API. 1 Platformable – Open Banking and Open Finance Regulations as at Q1 2024 (2024). 2 WEF – How open banking is levelling the financial playing field in the Middle East (2023). 3 Т ехнические требования к использованию информационно-технологических протоколов взаимодействия и стандарты информационной безопасности. 4 Б анк России – Концепция внедрения Открытых API на финансовом рынке (2022). 5 Н апример, персональными данными, банковской тайной, тайной страхования.
3 Основные принципы и этапы внедрения Открытых API на финансовом рынке Помимо этого, было организовано обсуждение подходов и принципов внедрения Открытых API в рамках нескольких крупных публичных мероприятий, в том числе на площадке Уральского форума «Кибербезопасность в финансах» (февраль 2023 года, февраль 2024 года) и форума инновационных финансовых технологий FINOPOLIS (ноябрь 2023 года). По результатам полученной обратной связи, проведенных обсуждений, а также анализа международного опыта и специфики российского финансового рынка был подтвержден гибридный подход к внедрению Открытых API. В настоящем документе представлены основные результаты обсуждения Концепции (раздел 1), принципы внедрения Открытых API (раздел 2) и ключевые этапы (раздел 3), а также дорожная карта (приложение). Внедрение Открытых API будет осуществляться Банком России поэтапно во взаимодействии с государственными органами, участниками рынка и профессиональными объединениями.
4 Основные принципы и этапы внедрения Открытых API на финансовом рынке 1. РЕЗУЛЬТАТЫ ОБРАТНОЙ СВЯЗИ ПО КОНЦЕПЦИИ ВНЕДРЕНИЯ ОТКРЫТЫХ API Публикация Концепции в ноябре 2022 года заложила основу для организации всестороннего обсуждения перспективных сценариев внедрения Открытых API в России. Учитывая, что представленные в Концепции предложения затрагивают участников большинства секторов финансового рынка, она вызвала широкий отклик у финансовых организаций. Так, в обсуждении Концепции приняли участие 166 организаций, в том числе кредитные организации, некредитные финансовые организации в составе саморегулируемых организаций, банковских ассоциаций, ассоциаций участников фондового и страхового рынков, а также другие заинтересованные лица (далее – респонденты). Кроме того, обсуждение Концепции и представленных в ней положений было проведено в рамках различных форумов и конференций, а также Экспертного совета по внедрению Открытых API. Совет был создан в мае 2023 года на площадке Ассоциации развития финансовых технологий (далее – Ассоциация ФинТех). В его состав вошли компании банковского, инвестиционного, страхового, микрофинансового секторов финансового рынка, а также крупнейшие представители нефинансового рынка, в том числе из сферы розничной торговли, включая электронную коммерцию, телекоммуникации, бигтех-компании и социальные сети. Проведенные обсуждения и полученная обратная связь подтвердили, что подавляющее большинство участников рынка поддерживают использование Открытых API и создание Платформы коммерческих согласий, а их запуск будет способствовать появлению инновационных продуктов, повышению качества услуг и развитию конкуренции. 99% респондентов поддержали использование Открытых API: 62% респондентов (банки, некредитные финансовые организации, страховые организации и другие) поддержали сначала рекомендательное, а затем обязательное внедрение Открытых API 37% респондентов (брокеры) поддержали только рекомендательное внедрение Открытых API 83% респондентов поддержали создание Платформы коммерческих согласий 1.1. Модель внедрения Открытых API В Концепции были предложены два возможных подхода к внедрению Открытых API в России: • внедрение Открытых API по модели Открытых финансов с дальнейшим переходом к модели Открытых данных; • внедрение Открытых API сразу по модели Открытых данных. Большинство респондентов выбрали предпочтительным вариантом использование Открытых API по модели Открытых финансов с дальнейшим переходом к Открытым данным.
5 Основные принципы и этапы внедрения Открытых API на финансовом рынке 77% респондентов поддержали использование Открытых API по модели Открытых финансов с последующим переходом к модели Открытых данных 22% респондентов выбрали приоритетной для реализации модель Открытых данных 1.2. Регулирование Открытых API Для обеспечения перехода на обмен данными с использованием Открытых API на финансовом рынке необходимо формирование соответствующей правовой базы, которая установит требования к такому информационному обмену и его участникам, а также наделит Банк России полномочиями по регулированию и надзору в данной сфере. В связи с этим в рамках Концепции Банк России представил концептуальные подходы к регулированию оборота данных на финансовом рынке с использованием Открытых API, которые были поддержаны респондентами. 100% респондентов поддержали необходимость регулирования информационного взаимодействия посредством Открытых API При этом, по мнению респондентов, в законодательстве необходимо предусмотреть следующие аспекты внедрения Открытых API: • установить единые правила, которые будут определять сроки и подходы к внедрению Открытых API; • сформировать стандартизированные процессы предоставления, обработки клиентских данных участниками различных секторов экономики; • установить единые требования к уровню информационной безопасности; • нормативно закрепить распределение ответственности между поставщиками и потребителями данных. Одновременно с этим респондентами была представлена обратная связь в части регулирования тарифной политики. 82% респондентов поддержали введение регулирования тарифной политики при обмене данными посредством Открытых API При регулировании тарифной политики респонденты считают необходимым рассматривать следующие варианты: • установление тарифов на доступ к API; • обмен данными исключительно в соответствии с условиями, установленными в рамках договорных отношений между организациями; • сочетание регулирования тарифов и возможности обмена данными в соответствии с условиями, установленными в рамках договорных отношений между организациями; • прогрессивное регулирование тарифов (тариф зависит от объема получаемой информации). Тарификация также может зависеть от востребованности определенной спецификации Открытых API у потребителей данных.
6 Основные принципы и этапы внедрения Открытых API на финансовом рынке Тарификация Открытых API Наличие/отсутствие компенсации за передачу данных с согласия клиента является важным вопросом при организации обмена данными с использованием Открытых API, так как она влияет на мотивацию поставщиков данных передавать информацию о своих клиентах сторонней организации. Для потребителя данных эта компенсация войдет в состав издержек, что может повлиять на стоимость продуктов и услуг. В связи с этим необходимо найти правильный баланс при определении тарифной политики, который обеспечит снижение стоимости конечных продуктов и услуг для потребителей и сделает обмен данными выгодным для организаций. Международный опыт показывает, что страны придерживаются разных подходов к монетизации передачи данных: в одних странах взимание тарифов запрещено законодательно (например, в ЕС в отношении платежных услуг), в других юрисдикциях тарифы ограничены на уровне регулирования (Бразилия) либо не регулируются, являясь предметом договорных отношений (Япония, Индия, США)6. 1.3. Участники обмена и перечень данных В рамках Концепции предлагалось реализовать внедрение Открытых API в четырех секторах финансового рынка – банковском, инвестиционном, страховом и микрофинансовом, а также был представлен перечень API для каждого из них. Вместе с тем некоторые респонденты предложили расширить список секторов, для которых использование Открытых API будет обязательным, и, в частности, добавить в него операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов (ОИС ЦФА), и операторов финансовых платформ (ОФП). Одновременно большинство респондентов указали на необходимость расширить перечень открываемых данных. 75% респондентов отметили необходимость расширить перечень API Так, например, респонденты предложили включить в перечень стандартизируемых API инвестиционного сектора возможность получения истории финансовых операций пользователя, а для страховых организаций предусмотреть стандарт по оформлению страховых выплат и отслеживанию урегулирования убытков. Также участники финансового рынка выразили заинтересованность в получении данных от нефинансовых организаций (телекоммуникационных компаний, социальных сетей, поисковых сервисов, компаний розничной торговли, включая электронную коммерцию, и других) с целью анализа поведенческой информации, потребительской статистики, данных для скоринга и так далее. Нефинансовые компании отметили, что хотели бы получать информацию о финансовых продуктах клиентов с помощью Открытых API. 6 O ECD – Shifting from Open Banking to Open Finance.
7 Основные принципы и этапы внедрения Открытых API на финансовом рынке 1.4. Сроки внедрения стандартов Открытых API Большинство респондентов предложили скорректировать представленные в Концепции сроки установления обязательного использования стандартов Открытых API на более поздние с целью обеспечения готовности ИТ-систем участников рынка. 63% респондентов отметили необходимость перенести обязательное внедрение Открытых API на более поздние сроки Одновременно с этим отдельные респонденты указали на необходимость публикации стандартов Открытых API (включая модели данных, формат и структуру сообщений) не позднее чем за шесть месяцев до даты вступления в силу требований, закрепляющих обязательный характер их внедрения. 1.5. Риски внедрения Открытых API К потенциальным рискам, которые могут возникнуть при внедрении Открытых API, Банк России отнес риски ненадлежащего поведения компаний – поставщиков услуг (потребителей данных): например, отказ от передачи данных через Открытые API, риски кибербезопасности и разглашения конфиденциальной информации, риски предоставления недостоверной информации, риски монополизации отдельных секторов финансового рынка и риски неготовности инфраструктуры поставщиков данных. 37% респондентов сочли представленный в Концепции перечень рисков исчерпывающим 57% респондентов представили предложения по дополнению перечня рисков В частности, в качестве дополнительных рисков, связанных с реализацией внедрения Открытых API, были отмечены: • несоблюдение требований SLA7 и получение неактуальных данных; • возникновение регуляторного арбитража; • некорректная/недостаточная идентификация клиентских данных от поставщиков данных нефинансового рынка. Дополнительно отдельные респонденты предложили возможные меры по митигации указанных рисков: • нормативное закрепление требований SLA к поставщикам данных; • одновременное внедрение Открытых API на финансовом и нефинансовом рынках, позволяющее исключить регуляторный арбитраж и асимметрию информации; • использование единого уникального идентификатора клиента для обеспечения сквозного бесшовного взаимодействия и интероперабельности при обмене данными с использованием Открытых API. При этом наиболее существенными, по мнению респондентов, являются риски информационной безопасности в процессе передачи, хранения и использования данных, в том числе риски утечки сведений, содержащих персональные данные и (или) банковскую тайну. 7 SLA (англ. Service Level Agreement – соглашение об уровне сервиса / оказания услуги) – договор об уровне предоставляемого сервиса между поставщиком и потребителем данных.
8 Основные принципы и этапы внедрения Открытых API на финансовом рынке 1.6. Выводы по результатам обратной связи Полученная обратная связь, а также результаты обсуждения Концепции на различных площадках и форумах позволили учесть точки зрения большинства заинтересованных лиц. По результатам обратной связи и проведенных Банком России обсуждений с участниками рынка были подтверждены следующие принципы внедрения Открытых API: 1. Гибридный подход внедрения Открытых API: рекомендательное, а затем обязательное использование стандартов Открытых API участниками финансового рынка (по модели Открытых финансов) и рекомендательное использование организациями других отраслей экономики (по модели Открытых данных). 2. Поэтапное внедрение Открытых API с последовательным расширением числа участников информационного обмена. 3. Необходимость установления регулирования Открытых API. 4. Целесообразность запуска Платформы коммерческих согласий. Банк России благодарен всем респондентам и участникам обсуждений за содержательные ответы и конструктивный диалог.
9 Основные принципы и этапы внедрения Открытых API на финансовом рынке 2. ПРИНЦИПЫ ВНЕДРЕНИЯ ОТКРЫТЫХ API В настоящем разделе представлен подход к внедрению Открытых API, в том числе необходимые для реализации выбранной модели законодательные изменения, порядок разработки стандартов Открытых API, принципы создания Платформы коммерческих согласий, а также запланированные мероприятия в области информационной безопасности. 2.1. Среда Открытых API и ее участники Взаимодействие организаций – участников информационного обмена будет осуществляться в рамках среды Открытых API – комплекса условий, обеспечивающих обмен данными с использованием Открытых API по единым стандартам, в целях предоставления услуг клиентам. Участниками среды Открытых API являются все поставщики и потребители данных, осуществляющие обмен информацией с использованием Открытых API и соответствующие всем установленным требованиям. Банк России будет выступать регулятором информационного обмена с использованием Открытых API на финансовом рынке. В частности, это предполагает реализацию следующих функций: • установление единых стандартов, правил, требований к информационной безопасности и порядка информационного обмена с использованием Открытых API; • установление требований к участникам обмена данными; • включение участников среды Открытых API в реестр, ведение которого будет осуществлять Банк России; • контроль и надзор за исполнением указанных требований. Также до конца 2024 года Банк России совместно с участниками рынка проработает вопрос создания оператора среды Открытых API. Предполагается, что в случае его учреждения оператор среды Открытых API может выполнять следующие функции: • поддержание сервисной инфраструктуры для функционирования среды Открытых API; • проверка соответствия ПО участников среды Открытых API требованиям стандартов (прикладных и в части информационной безопасности); • техническая и консультационная поддержка участников (портал разработчика, тестовый стенд); • мониторинг SLA поставщиков данных; • разрешение споров между участниками информационного обмена. С целью формирования среды Открытых API будет реализован комплекс правовых, технологических и организационных мероприятий, описанных в разделах 2.2–2.5 настоящего документа. 2.2. Регулирование Открытых API В целях внедрения механизма Открытых API на финансовом рынке при участии Банка России подготовлен проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части осуществления информационного обмена на финансовом рынке)», дополняющий нормы Федерального закона от 10.07.2002 № 86‑ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее – Закон о Банке России), а также
10 Основные принципы и этапы внедрения Открытых API на финансовом рынке федеральных законов, затрагивающих регулирование деятельности отдельных участников финансового рынка (в том числе банковского, инвестиционного, страхового). В Закон о Банке России предполагается внести изменения, касающиеся установления функции Банка России как регулятора информационного обмена на финансовом рынке с использованием Открытых API. Кроме того, в компетенцию Банка России войдет установление критериев, которым должны будут соответствовать участники информационного обмена на финансовом рынке (поставщики и потребители данных), порядка внесения в реестр сведений об участии финансовых организаций в информационном обмене в качестве поставщиков и потребителей данных, а также исключения указанных сведений из реестра, порядка такого информационного обмена и требований к информационной безопасности в рамках обмена данными с использованием Открытых API. Также изменениями будут установлены условия получения/предоставления информации (наличие согласия клиентов) и подходы к тарификации. Изменения, планируемые к внесению в профильные федеральные законы, устанавливают обязанность поставщиков данных с использованием Открытых API предоставлять потребителям данных достоверную информацию о клиентах, давать клиентам возможность совершения юридически значимых действий, а также принимать поручения (распоряжения) клиентов на совершение операций на финансовом рынке. Потребителям данных будет дано право на получение указанной информации, предоставление клиентам возможности совершения юридически значимых действий, а также направление поручений (распоряжений) клиентов на совершение операций на финансовом рынке, при этом они должны будут обеспечивать конфиденциальность информации, полученной с использованием Открытых API. Для обеспечения возможности получения актуальных сведений о клиенте и своевременного направления поручений (распоряжений) клиента на финансовом рынке потребителем данных будут нормативно закреплены требования к уровню SLA поставщиков данных, в том числе время безотказной работы интерфейсов, скорость ответа и так далее. Также указанные изменения направлены на установление состава информации, передаваемой с использованием Открытых API. Клиенты смогут в любой момент отозвать согласие, предоставленное участникам информационного обмена посредством Открытых API на финансовом рынке. При этом форма такого согласия, порядок его предоставления и отзыва будут закреплены нормативно. Кроме того, Банк России сможет устанавливать технические требования (стандарты) к использованию Открытых API на финансовом рынке. Подход Банка России к разработке стандартов Открытых API представлен в разделе 2.3. 2.3. Разработка стандартов Открытых API С целью содействия развитию инноваций и конкуренции, повышения удобства использования сервисов на основе Открытых API для клиентов и снижения издержек участников рынка на интеграцию и обмен данными Банк России совместно с Ассоциацией ФинТех разработает единые стандарты Открытых API. В рамках таких стандартов будет определен порядок описания и разработки API. Также будут установлены правила в отношении модели данных, формата и структуры сообщений, передаваемых между участниками среды Открытых API, способы обеспечения информационной безопасности, модель управления изменениями версий Открытых API.
11 Основные принципы и этапы внедрения Открытых API на финансовом рынке Стандарты Открытых API будут разрабатываться и внедряться начиная с тех сфер, где их применение создаст максимальные преимущества для клиентов и финансовых организаций. Так, в 2024 и 2025 годах в том числе планируется разработать проекты стандартов Открытых API, затрагивающие следующие виды сведений: • сведения о счетах и картах физических лиц; • сведения о счетах юридических лиц; • сведения о договорах физических лиц (ипотечное кредитование и страхование); • сведения об инвестиционных продуктах клиента; • сведения о застрахованных лицах; • сведения о медицинских услугах; • сведения о геопозиционировании объектов. Перед публикацией стандарты будут проходить пилотирование. Так, для тестирования стандартов в 2024 году будут проведены пилотные проекты, в том числе по таким направлениям, как персональный финансовый помощник, корпоративный мультибанкинг, цифровое согласование обслуживания по договору добровольного медицинского страхования, а также цифровое урегулирование дорожно-транспортных происшествий. Данные бизнес-кейсы были предложены участниками рынка и поддержаны Банком России, так как эти сервисы являются самыми востребованными и имеют наибольший эффект для граждан и бизнеса с точки зрения потенциала использования Открытых API. В дальнейшем по результатам взаимодействия с участниками финансового рынка список стандартов Открытых API будет расширен. При этом будет применяться аналогичный подход: изначально стандарты будут проходить пилотирование и впоследствии публиковаться для использования участниками рынка. Помимо реализации указанных пилотных проектов, в течение 2025 года будет проведено пилотирование Платформы коммерческих согласий – единого окна для управления согласиями в рамках информационного обмена посредством Открытых API. Основные принципы функционирования Платформы коммерческих согласий представлены в разделе 2.4. 2.4. Платформа коммерческих согласий Обмен клиентскими данными посредством Открытых API между участниками информационного взаимодействия возможен только при получении соответствующего согласия клиента. Процесс предоставления такого согласия является неотъемлемой частью оказания услуги, позволяя обеспечить безопасность клиентских данных и их конфиденциальность, а также напрямую влияет на удобство получения сервисов. В целях улучшения клиентского пути и обеспечения удобного управления согласиями клиента Минцифры России совместно с Банком России прорабатывает вопросы создания Платформы коммерческих согласий (ПКС). Запуск ПКС обеспечит клиентам возможность предоставлять, просматривать и отзывать все выданные согласия в рамках информационного взаимодействия посредством Открытых API. При этом перед предоставлением информации поставщик данных должен будет удостовериться в наличии соответствующего согласия. В случае отзыва согласия передача данных прекратится.
12 Основные принципы и этапы внедрения Открытых API на финансовом рынке ПКС планируется реализовать на базе Единого портала государственных и муниципальных услуг (функций). При этом на платформе будут храниться только выданные гражданами согласия, а хранение клиентских данных, как и сейчас, будет осуществляться на стороне участников финансового рынка. В целях обеспечения функционирования ПКС планируется создание необходимых правовых условий, предусматривающих в том числе порядок подключения к ПКС, порядок взаимодействия участников информационного обмена c ПКС, закрепление ответственности за нарушение установленных требований, осуществление контрольно-надзорной деятельности компетентными органами в рамках функционирования ПКС и унификацию содержания согласий. В связи с тем что в рамках информационного обмена с использованием Открытых API будет осуществляться передача клиентских данных, необходимо обеспечить не только прозрачный и удобный механизм управления согласиями, но и сформировать условия для обеспечения высокого уровня информационной безопасности в рамках среды Открытых API. 2.5. Информационная безопасность Вопросы информационной безопасности являются ключевыми при обмене данными. В связи с этим Банком России предусмотрена реализация комплекса мер по обеспечению информационной безопасности обмена данными посредством Открытых API. Как регулятор информационного обмена на финансовом рынке посредством Открытых API, Банк России будет осуществлять регулирование и надзор за организациями, выполняющими обмен данными с использованием Открытых API, в части обеспечения защиты информации. Для обеспечения безопасного информационного обмена посредством Открытых API Банк России планирует организовать процесс выпуска ключей электронной подписи в доверенном удостоверяющем центре Банка России, а также регламентировать процедуру допуска участников к информационному обмену, включая прохождение технических проверок программного обеспечения для взаимодействия по Открытым API и аудита технических и организационных средств обеспечения безопасности. При этом поставщики и потребители данных должны будут использовать установленные Банком России стандарты информационной безопасности при обмене данными через Открытые API. В частности, Банк России актуализирует стандарты информационной безопасности в связи с обновлением методических рекомендаций по использованию российских криптографических алгоритмов в протоколах аутентификации OpenID Connect. Данные стандарты являются одним из компонентов обеспечения доверенной среды при взаимодействии по Открытым API и будут обязательны для применения участниками при передаче информации, которая имеет чувствительный характер (персональные данные, банковская, страховая и иные виды тайн). Кроме того, Банк России совместно с Ассоциацией ФинТех прорабатывает вопрос создания бесплатного программного обеспечения с базовым набором функций для осуществления информационного обмена посредством Открытых API для участников рынка. Предполагается, что использование этого «коробочного решения» позволит сократить временные и материальные затраты участников рынка на организацию информационного обмена по Открытым API в соответствии с требованиями стандартов Банка России, в том числе в части информационной безопасности.
RkJQdWJsaXNoZXIy MjcxODE=