راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

بانک‌تک

معرفی دو روش برای تحقق بانکداری باز / چرا به بانکداری باز نیاز داریم؟

نویسنده: راه پرداخت 0

مهران افسری؛ مدیر سیستم‌های نوین بانکی شرکت خدمات انفورماتیک / حسین طاهری؛ رییس گروه توسعه سیستم‌های جانبی شرکت خدمات انفورماتیک / میلاد خلیلیان؛ کارشناس ارشد بانکداری همراه شرکت خدمات انفورماتیک / صنعت بانکداری در کشور ما همواره یکی از صنایع پیشرو و خلاق در به‌کارگیری تکنولوژی‌های روز دنیا بوده است. در گذشته نه‌چندان دور به خاطر داریم که برای تک‌تک امور بانکی ناچار به مراجعه به شعبه بودیم. کارت‌های بانکی، حساب‌های متمرکز و سامانه‌های دسترسی الکترونیکی به‌سرعت ظاهر شدند و مشتریان را از برخی سرویس‌های خارج از شعب بهره‌مند کردند. در این فاصله زمانی، امروزه تعریف مشتریان از بانک خوب، بانکی است که نیازی به مراجعه به شعبه در آن نبوده و دسترسی‌های هر چه بیشتری به سرویس‌های بانکی از راه دور ایجاد کند.

ope-khad-1-index-way2pay-94-11-25

سامانه‌های تولیدی توسط بانک برای مشتریان

با پیشرفت روزافزون فناوری ارتباطات، نیازهای امروز جامعه نیز به‌سرعت در حال تغییر است. امروزه بیشتر افراد به کمک گوشی‌های هوشمند خود، لحظه‌به‌لحظه به اطلاعات مختلف کاری / پژوهشی / شخصی خود را دریافت و یا به‌روز می‌کنند. به همین نسبت تبادلات مالی این نسل نیز به‌سرعت در حال تنوع و گسترش است و با توجه به رشد سرسام‌آور تکنولوژی نمی‌توان انتظار داشت که یک بانک به‌تنهایی همه خدمات مالی یک شخص پیشتاز در فن‌آوری را برآورده سازد.

این دیدگاه که بانک باید به‌تنهایی تمامی نیازهای خورد و کلان مشتریان خاص و عام خود را برآورده سازد، دیگر قدیمی شده است و مشتریان انتظارات و خواسته‌های متنوع و متفاوتی دارند و با وجود ارائه کانال‌های ارتباطی فراوانی که بانکداری بسته در اختیار مشتریانش قرار داده است، نه‌تنها انتظار مشتریان اشباع نشده است، بلکه توقع آن‌ها را نیز در خصوص دریافت خدمات متناسب با پیشرفت تکنولوژی روز، بیشتر نموده است.

ope-khad-2-index-way2pay-94-11-25

نمونه‌هایی از نیازمندی‌های جدید مشتریان

استارتاپ‌ها، این توان را دارند که با هزینه‌های پایین و سرعت بالا، نیازهای مشتریان را شناسایی کرده و برای آن راهکار ارائه دهند؛ اما تا زمانی که نتوانند به محیط بسته و محافظت‌شده بانک‌ها وارد شوند و خدمات مالی موردنیاز مشتریان بانکی را برآورده سازند، صنعت بانکداری به‌ناچار از پیش تازی در به‌کارگیری فناوری‌های روز دنیا عقب می‌ماند. درست همین‌جاست که نیاز به بانکداری باز، برای هم‌افزایی بانک و شرکت‌های استارتاپ، احساس می‌گردد. بدین منظور بانک‌ها می‌توانند به‌جای تولید برنامه‌های کاربردی، (application programing interface) API های بانکی را توسعه داده و در اختیار تولیدکنندگان برنامه قرار دهند. منظور از API مجموعه‌ای از کتابخانه برنامه‌نویسی و یا وب‌سرویس‌هایی است که برنامه‌نویس می‌تواند با فراخوانی آن‌ها از درون برنامه خود، امکان اجرای تراکنش‌های بانکی (مالی و غیرمالی) را توسط کاربر مهیا کند.

البته در آمریکا و کشورهای اروپایی، این نیاز سال‌هاست احساس شده و بسیاری از بانک‌های کشورهای پیشرفته به بانکداری باز رو آورده‌اند.

به‌عنوان نمونه بانک Credit Agricole از کشور فرانسه، یکی از بانک‌های پیشرو در حوزه بانکداری باز است. این بانک با راه‌اندازی App Store ویژه خود در سال 2012، استارتاپ‌ها را در ارائه سرویس‌های بانکی به استفاده از API یا همان application programing interface خود برای برآورده سازی نیازهای خاص مشتریان بانکی تشویق می‌کند.

بانک AXA Banque از کشور فرانسه نیز API خود را برای در سال 2012 در دسترس عموم قرار داده و در این خصوص رقابتی را برای شرکت‌های استارتاپ، برای نوشتن App ایجاد کرده است.

بانک‌های Capital One از آمریکا، BBVA و Banco Sabbadell از اسپانیا، Fidor Bank از آلمان، Bradesco از برزیل، Garanti از ترکیه نیز در سال‌های اخیر از بانکداری باز برای برآورده شدن نیازهای خاص مشتریان خود بهره‌برداری می‌کنند.

همچنین کنسرسیوم‌هایی در آلمان و آمریکا، جهت استانداردسازی API های بانکی تشکیل شده است تا کار توسعه‌دهندگان نرم‌افزار، در تطبیق نرم‌افزارهای خود برای بانک‌های مختلف آسان‌تر گردد.

وزارت خزانه‌داری بریتانیا نیز، جهت ایجاد رقابت سالم بین بانک‌ها و خدمات بهتر به مشتریان بانک‌ها، اقدام به تعریف چهارچوب Open Banking API نموده است.

همه این اقدامات نشان می‌دهد که جهت‌گیری آینده در ارائه سرویس‌های بانکی چگونه است و به بانک‌های ما نسبت به عقب ماندن در صنعت بانکداری الکترونیک، هشدارهای جدی می‌دهد.

خوشبختانه برخی بانک‌های کشور ما نیز در این عرصه ورود پیداکرده‌اند و همایش‌هایی نظیر این بانک که توسط شرکت خدمات انفورماتیک برای ایجاد رقابت بین استارتاپ‌ها، در ارائه ایده‌ها و app های مفید برای مشتریان خاص برگزار شد، نشان می‌دهد، ظرفیت کافی برای ورود بانک‌های کشور ما به این عرصه وجود دارد.

بانکداری باز که در برخی مقالات API Banking نیز خوانده می‌شود، زیرساخت استاندارد و امن استفاده از سرویس‌های بانکی را در اختیار سایر تولیدکنندگان نرم‌افزار نیز قرار می‌دهد تا بتوانند سامانه‌های خود را به سرویس‌های بانکی متصل کنند و یا خدماتی مشابه خدمات نوین بانکی با سرویس‌های خاص، برای مشتریان خاص ارائه دهند.

.

چگونه درهای بسته بانک را باز کنیم؟

حال که ضرورت ورود به عرصه بانکداری باز روشن شد، سؤال اساسی بانک‌ها این است که با کدام استراتژی می‌بایست وارد بانکداری باز شوند. روش‌های ارائه بانکداری باز گوناگون است و بسیاری از بانک‌های ما هم‌اکنون نیز، بستر ارتباط با سامانه‌های بیرونی را دارند. ارتباط با بورس، پذیرش تراکنش‌های پرداخت قبض از سازمان‌ها، واریز وجوه دسته‌ای,… نمونه‌های ساده‌ای از External API بانک‌ها می‌باشند.

اولین گام برای ورود به بانکداری باز، وجود ساختار داخلی مناسب در درون سامانه‌های بانک است. وجود یک ESB یا Enterprise Service Bus و به تعبیری مدیریت کانال (Channel Manager)، از ضروریات ارائه سرویس‌های بیرونی است. بسیاری از بانک‌ها، مدت‌هاست به‌ضرورت یک Service Bus در داخل بانک پی برده و از یک Channel Manager داخلی بهره‌برداری می‌کنند تا ارتباط سامانه‌های درون بانکی را تسهیل کنند.

نکته کلیدی دیگر، حفظ امنیت سامانه‌های داخلی بانک است. سامانه‌های مختلف بانکی، عمدتاً در یک شبکه امن و محافظت شده قرار دارند و نمی‌توان سامانه‌های بیرونی را به‌طور مستقیم به ESB داخلی بانک متصل نمود. لذا وجود یک گذرگاه ایمن (Channel Proxy) برای تأمین امنیت شبکه داخلی و مدیریت ترافیک ورودی، جهت ایمن‌سازی بستر شبکه داخلی از خطرات بیرونی، از ضروریات باز نمودن درهای بانک است.

ope-khad-3-index-way2pay-94-11-25

معماری درگاه‌های بانکداری باز (تصویر بزرگتر +)

پس از آماده‌سازی بستر داخلی، می‌توان راهکاری مختلفی را برای ارائه سرویس‌های باز بانکی، به سازمان‌ها، شرکت‌ها و اشخاص در نظر گرفت. در این مقاله به دو استراتژی عمده اشاره خواهیم کرد که قالب نیازمندی‌های مختلف مشتریان را می‌تواند برآورده سازد:

1-    بستر نیمه‌باز و کنترل شده از طریق BCG یا Business control gateway

2-    بستر کاملاً باز توسعه نرم‌افزار از طریق OBG یا Open bank gateway

در ادامه مفهوم این دو روش و قلمرو سرویس‌دهی آن‌ها را تشریح نماییم. هرچند ممکن است هم‌پوشانی‌هایی هم وجود داشته باشد. به این معنی که امکان استفاده از هر دو روش برای یک کاربرد خاص وجود داشته باشد. تصمیم‌گیری در این خصوص ممکن است بستگی به سیاست بانک و یا میزان بلوغ و تکمیل بودن سامانه‌ها داشته باشد.

.

1-    استفاده از BCG برای اتصال سامانه‌ها به بانک

در این راهکار یک سامانه مرکزی به نام BCG مابین سرویس‌گیرنده‌ها و درگاه امن بانک قرار می‌گیرد. در این معماری BCG عهده‌دار وظایف زیر است:

1-    احراز هویت و کنترل سطح دسترسی به سرویس‌های مجاز و حساب‌های مجاز (Authentication / Authorization)

2-    عملیات ترکیبی – تکمیلی روی سرویس‌های پایه بانکی برای کاربردهای خاص و پیچیده (Service Orchestration) و به‌طورکلی اجرای برخی بیزنس‌ها روی سرویس‌های موجود

3-    اعمال کنترل‌ها و منطق تجاری بانک، اعمال محدودیت‌های رگولاتوری و حذف پیچیدگی از سرویس‌های پایه

4-    حسابداری سرویس‌ها (Accounting)

.

راهکار ارائه سرویس‌های امن و کنترل شده به سازمان‌ها و شرکت‌ها تا حدودی فراگیر شده است؛ ولی این به‌تنهایی به معنای بانکداری باز نیست. هر نهاد و یا شرکتی می‌تواند با بانک طرف قرارداد شود و یک سری سرویس‌های مالی را روی حساب‌های مدنظر خود انجام دهد. به‌عنوان‌مثال سایت‌های بزرگ فروشگاهی، برای بازگرداندن پول مردم در شرایط خاص انتظار دارند بتوانند به‌حساب‌های خود به‌صورت وب‌سرویس دسترسی داشته باشند و همان امکاناتی که اینترنت بانک در اختیار آن‌ها قرار می‌دهد، در یک پروسه امن بتوانند از طریق وب‌سرویس انجام دهند تا بسیاری فرایندهای دستی را به کمک آن اتوماتیک کنند.

دسترسی به سرویس‌های خام بانکی خارج از محیط محافظت شده بانک، ریسک پرخطری برای کلیه بانک‌ها به‌حساب می‌آید. لذا می‌بایست پیش از ورود درخواست‌ها به شبکه محافظت شده بانکی، کلیه کنترل‌های امنیتی مرتبط با احراز هویت، سطح دسترسی به سرویس‌ها و حساب‌ها و اعمال محدودیت‌ها و مقررات بانکی صورت پذیرد. ضروری است در ارتباط بین بانک و نهادهای بیرونی از زیرساخت PKI، متناسب با قوانین CPCS بانک مرکزی صورت گیرد تا در صورت بروز اختلاف، امکان انکارناپذیری درخواست‌های مشتریان و راهکارهای رفع مناقشات فراهم گردد.

حسابداری BCG، تنها به مسائل مالی و قراردادی بین نهادهای بیرونی و بانک محدود نمی‌شود. هر مشتری بانکی پروفایلی از سوابق، فرایندها، حساب‌ها و سرویس‌های مجاز و سقف تراکنش‌های ویژه است و ممکن است نیازمندی‌های خاصی داشته باشد که بانک در BCG فرایندهای موردنیاز آن مشتری را به کمک چهارچوب‌های دینامیک نظیر Rule Engine ها پیاده‌سازی کند. گاه نیز سرویس‌های موردنیاز مشتریان، از ترکیب سرویس‌های خام بانکی می‌بایست تأمین گردد. محدوده این روش جاهای است که سرویس‌گیرنده و حساب‌های او از قبل برای بانک شناخته شده است و بانک می‌خواهد سرویس‌های مشخصی را به‌صورت پایه یا پیشرفته در اختیار او قرار دهد. اتصال سازمان‌ها و شرکت‌های بزرگ (مانند بورس، بیمه، دفاتر هواپیمایی، ادارات، شرکت‌ها …) نرم‌افزارهایی که کاربران آن برای بانک احراز هویت معتبر دارند با استفاده از این روش انجام می‌شود.

.

2-    استفاده از OBG برای اتصال سامانه‌ها به بانک

در این روش برخلاف روش BCG, امکان اتصال فراگیر نرم‌افزارها (موبایلی – تحت وب – دسکتاپ) با حداقل دخالت و کنترل بانک فراهم می‌شود و عمدتاً برای ورود شرکت‌های استارتاپ در پر کردن خلأهای نیازمندی‌های خرد و خاص مشتریان استفاده می‌شود. جهت تأمین بستر ورود نرم‌افزارهای تولید شده توسط شرکت‌های کوچک، بانک نیازمند تهیه سامانه‌ای به نام OBG و فرایندهایی است که منطبق با اهداف موردنظر خود در ارائه بانکداری باز ایجاد می‌شوند.

الگوهای اجرا شده در کشورهای پیشرفته دنیا، در خصوص ارائه بستر OBG معمولاً شامل تأمین موارد زیر است:

1-    تأمین API پرکاربرد و ارائه کتابخانه‌های موردنیاز برنامه‌نویسان

2-    فراهم کردن پروتکل‌های امنیتی بین نرم‌افزاری

3-    فراهم کردن بستر ارتباطی (ترجیحاً وب‌سایت) با تولیدکنندگان نرم‌افزار جهت ثبت‌نام، دریافت ایده و نرم‌افزارهای تولید شده آن‌ها و مدیریت پروفایل تولیدکنندگان

4-    فراهم کردن بستر فروشگاه نرم‌افزار App Store

5-    فراهم کردن مکانیسم تأیید نرم‌افزارهای تولیدکنندگان و مدیریت نسخه‌های آن‌ها

.

سامانه OBG، یک رابط نرم‌افزاری وب‌سرویس و یا Restful را در اختیار تولیدکنندگان قرار می‌دهد تا نرم‌افزارهای خود را جهت ارائه خدمات به مشتریان تکمیل نمایند. اینکه چه API ای را بانک در اختیار تولیدکنندگان قرار می‌دهد بستگی به اهداف و استراتژی بانک دارد، ولی معمولاً شامل سرویس‌های پایه‌ای و پرکاربردی نظیر مانده، گردش حساب و انتقال وجه است. در سامانه OBG جهت جلوگیری از مناقشات حقوقی، محدودیت‌های بیشتری روی سطح سرویس‌ها و سقف تراکنش‌های روز در مقایسه با BCG قرار داده می‌شود تا ریسک کمتری برای بانک و مشتریان ایجاد کند.

حتی به کمک مجموعه محدودی از API ها، توسعه‌دهندگان و استارتاپ می‌توانند بسیاری از نیازمندی‌های مشتریان خود را پوشش دهند. از نرم‌افزارهای مدیریت مالی گرفته تا سامانه‌های پرداخت موبایلی، مدیریت ساختمان، ارتباطات اصناف و فروشندگان، بنگاه‌های خیریه و غیره می‌توانند از درون خود سرویس‌های بانکی را فراخوانی کنند. در این روش کاربر نهایی برای ورود به برنامه و یا هنگام اجرای تراکنش بانکی احراز هویت می‌شود.

هرگونه آسیب‌پذیری در ناحیه احراز هویت مشتری، ریسک امنیتی و حتی کسب‌وکاری جدی را برای بانک و مشتریان به همراه می‌آورد. لذا استفاده از تجربه‌های بانک‌های کشورهای دیگر در این خصوص از اهمیت خاصی برخوردار است. بسیاری از نمونه بانک‌های اروپایی و آمریکایی در بانکداری باز، عمدتاً از پروتکل OAuth 2.0 استفاده می‌کنند که امروزه در احراز هویت سامانه‌های تحت وب نقش کلیدی و عمده‌ای را ایفا می‌کند.

اعمال فرآیند جدید در بانک‌ها عمدتاً با مشکلات فراوانی روبرو می‌شود. لذا بدون توجه مدیریتی و ایجاد مجموعه‌ای مجرب در بخش بانکداری باز یک بانک، ممکن است این فرایند به‌آسانی با شکست مواجه گردد. وجود وب‌سایتی که با توسعه‌دهندگان در تعامل است و کلیه مراودات آن‌ها پس از احراز هویت اولیه را مکانیزه کند تا حدود زیادی می‌تواند مشکلات فرآیندی این کسب‌وکار را کاهش دهد. شکل زیر نمونه‌ای تبادلات نقش‌های مختلف در بانکداری باز را نشان می‌دهد.

ope-khad-5-index-way2pay-94-11-25

فرایندهای OBG

ایجاد فروشگاه نرم‌افزار یا App Store در بانکی که روش OBG را برای بانکداری باز انتخاب نموده است از اقدامات کلیدی این مسیر است. مشتریان بانکی، می‌توانند به وب‌سایت یا اپلیکیشن App Store بانک مراجعه و از بین نرم‌افزارهای مختلف که مورد اعتماد بانک است، انتخاب نمایند و آن را روی گوشی و یا دسکتاپ خود نصب کنند.

علاوه بر ملاحظات امنیتی در لایه سرویس و احراز هویت، نکته کلیدی مهم دیگر در تأمین امنیت بانکداری باز، کنترل نرم‌افزارهای تولید شده توسط متخصصین بانک و ممیزی سورس کد آن‌هاست است. چراکه در این مسیر، مشتریان تنها بانک را می‌شناسند و هرگونه آسیب‌پذیری نرم‌افزاری که منجر به رخنه اطلاعات حساس مشتریان گردد، خواه سهوی یا عمدی باشد، متوجه بانک خواهد شد. لذا در این فرایند، توسعه‌دهنده تنها کد نرم‌افزار را تهیه و مدیریت می‌کند و نشر و نگهداری آن‌ها به عهده بانک است و این نیز بیانگر هزینه‌هایی است که بانکداری باز می‌تواند برای بانک در پی داشته باشد.

همچنین جهت جلوگیری از هرگونه سوءاستفاده، لازم است فرهنگ دانلود از App Store بانک بین مشتریان بانک جا انداخته شود. چنانچه مشتری از سایتی غیر از بانک نرم‌افزارهای موردنیاز بانکی خود را بارگذاری نماید، عواقب لو رفتن اطلاعات حساس وی بر عهده خودش خواهد بود.

.

نتیجه‌گیری

امروزه چه بانک‌های ما در حوزه بانکداری باز علاقه‌مندی از خود نشان بدهند یا ندهند، بانکداری باز آینده بانکداری الکترونیک است و بانک‌هایی که بانکداری باز را انتخاب نموده‌اند، به لحاظ تنوع خدمات بانکی به‌سرعت در حال فاصله گرفتن از بانک‌هایی هستند که در این حوزه هنوز در مرحله تصمیم‌گیری می‌باشند. مخاطب همان‌گونه که در انتخاب گوشی تلفن همراه خود، ده‌ها و حتی صدها انتخاب دارد و سعی می‌کند، گوشی هوشمندی را انتخاب نماید که علاوه بر قابلیت اطمینان، کیفیت و سرعت، نیازمندی‌های خاص وی را نیز پاسخگو باشد، در دریافت سایر خدمات ازجمله بانکداری الکترونیک خود نیز، ویترینی از قابلیت‌ها و امکانات را مشاهده می‌کند و سعی می‌کند، گزینه‌ای را انتخاب نماید که در خدمتی که وی انتظار دارد، بیشترین امکانات را با بهترین کیفیت به وی ارائه دهد. از طرف دیگر، شرکت‌های کوچک و استارتاپ‌ها، فرصتی هستند که می‌توانند بانک را در جذب مخاطبین خود یاری دهند.

از طرفی درصورتی‌که هر بانکی بخواهد به یک روش بانکداری باز را اجرا نماید و API خود را هر آن‌گونه که تیم‌های فنی خودشان صلاح می‌دانند پیاده‌سازی کنند، در آینده نه‌چندان دور بانکداری باز در کشور با مشکلات عدیده‌ای روبرو خواهد شد و مخاطبین خود را ناراضی خواهد کرد. کیفیت این نرم‌افزارها در رضایتمندی مشتریان نقش کلیدی دارد. لذا درصورتی‌که هر بانکی، یک مجموعه استارتاپ را برگزیند و این شرکت‌ها نیز با توجه به فراوانی API ها، تنها بتوانند به یک یا حداکثر دو بانک خدمات‌رسانی انجام دهند، ما نمی‌توانیم انتظار داشته باشیم که تولیدکنندگان قدرتمند و محصولات با کیفیت ظهور پیدا کنند. چراکه مخاطب آن‌ها محدود است و فضای رقابتی نیز شکل نخواهد گرفت.

اما چنانچه بازار نرم‌افزارهای مالی بر بستر بانکداری باز، روی API بین‌بانکی بنا گردد، این امید می‌رود که رقابتی بین تولیدکنندگان App های با کیفیت خوب در کشور برقرار گردد و مشتریان نیز برای یک کاربرد گزینه‌های بیشتری برای انتخاب داشته باشند. لذا پیش از افتادن در ورطه بانکداری باز، به نظر می‌رسد بانک مرکزی یا کنسرسیومی از بانک‌ها، می‌بایست در این حوزه ورود پیدا کرده و در فعالیت‌های این حوزه استانداردهای موردنیاز را تأمین نماید.

راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.