Баннер новости Мобильный баннер новости

Как устроен BaaS изнутри и насколько безопасно доверять бизнес чужой инфраструктуре

20 апр 2022

Потребность в собственных финансовых продуктах способствовала развитию качественно нового уровня взаимодействия бизнеса и банка по модели BaaS. Формат «банк-как-сервис» позволяет крупным корпорациям, интернет-ритейлерам, маркетплейсам, транспортным компаниям арендовать банковские мощности и внедрять платёжные инструменты в свою инфраструктуру.

Интеграция происходит на основе API — единого программного интерфейса, который обеспечивает связь программ банка и бизнеса. Вся информация, которая передаётся через API, шифруется с помощью стандартов передачи данных и систем криптографии. Поэтому созданная сеть обладает высоким уровнем цифровой защиты от взломов и утечки информации. 

Рассказываем, на основе каких технологий и систем функционирует BaaS и за счёт чего банк обеспечивает безопасность данных партнёра. Если нет времени на чтение всей статьи, переходите к заключению: в нём основная информация тезисно.

Важные новости для бизнеса - в нашем Телеграме.
Подпишитесь, чтобы узнавать о мерах поддержки и получать новые решения для вашего дела!
Важные новости для бизнеса - в нашем Телеграме.

Как устроена архитектура BaaS 

Модель BaaS — «банк-как-сервис» — первый шаг на пути к формированию Open Banking. Концепция открытого банкинга реализуется во многих странах, в том числе в России. Формат доступности финансовых продуктов упрощает выход на рынок компаниям-новичкам, способствует развитию уже существующего бизнеса и создаёт здоровую конкурентную среду. 

Поставщики BaaS предоставляют свою инфраструктуру на основе API — интерфейсов прикладного программирования, благодаря которым программы или приложения взаимодействуют друг с другом. Для их запуска не требуется специальная лицензия, длительный срок или большие материальные вложения. Многие компании встраивают API в свои сайты. Например, Aviasales на его основе выдаёт актуальные данные о ценах билетов сотен продавцов, а приложения по доставке еды используют API для связи с гугл-картами. 

Банки продвигают применение API в целях создания открытой экосистемы финансовых технологий. Доля кредитных учреждений, которые инвестировали в такие интерфейсы, увеличилась с 35% в 2019 году до 47% в 2021 году. Ещё 25% планируют сделать это в 2022 году. 

Агентский интерфейс открывает банковские возможности для финтех-стартапов и для любых нефинансовых организаций, к примеру, операторов перевозок или ритейла. Через API бизнес может получить доступ к платёжному функционалу или целому сервису. Для этого алгоритмы интегрируются в учётные системы пользователя. Он сам выстраивает бизнес-логику, но в пределах установленных правил и рамок. 

Что касается информации, то и у бизнеса, и у банка есть свои хранилища, а взаимодействие и обновление данных происходит также с помощью API. Вся система хранения и обработки сведений базируется на законе № 115-ФЗ «О противодействии легализации преступных доходов».

В BaaS применяется множество других инновационных систем и технологий, в том числе: 

Блокчейн и смарт-контакты. Блокчейн — современный подход к хранению информации в виде цепочки блоков. При этом не существует единого центра управления, поэтому данные хранятся одновременно у каждого участника сети на равных правах. Технология позволяет информации оставаться неизменной и безопасной, а самой сети устойчивой к внешним и внутренним атакам. Блокчейн активно используют такие отрасли, как логистика, финансовая сфера и здравоохранение. 

В блокчейне можно сгенерировать автоматическое соглашение между несколькими сторонами — смарт-контакт. Это аналог обычного юридического договора, но заданный с помощью алгоритмов сети. Поэтому его нельзя изменить в одностороннем порядке: программа строго следит, как стороны выполняют соглашение. Благодаря смарт-контактам почти на 100% решена проблема человеческой ошибки.

Блокчейн в сочетании со смарт-контактами позволяет выполнять заложенные в алгоритмах действия, например, валидировать прохождение оплаты от клиента быстро и прозрачно. 

ERP-система. Система управления бизнес-процессами (Enterprise Resource Planning) — это набор программных модулей, в которых собрана вся информация о деятельности организации. В ERP можно настраивать логистику, вести учёт товарооборота, имущества, сотрудников, документацию и автоматизировать рабочие процессы. Банкинг через единый интерфейс встраивается прямо в ERP-систему, благодаря чему финансовые услуги и продукты становятся полностью подконтрольны компании-партнёру. 

BPM. Методология управления бизнес-процессами (Business Process Management) — практика, которая нацелена на оптимизацию бизнес-процессов в компании. Любой процесс — хоть продажи, хоть логистику — можно сделать эффективнее. Для этого нужно распределить задачи и зоны ответственности, смоделировать процесс в BPM-системе и внедрить в реальную деятельность. А дальше на основе мониторинга KPI либо оставить в прежнем виде, либо пройти цикл заново и доработать процесс. 

В целом технологические компоненты могут заменять и дополнять друг друга. Но всегда неизменным остаётся ключевой формат архитектуры BaaS: система клиента — API-интерфейс — банк. 

За счёт чего банк гарантирует безопасность данных партнёра

За безопасность информации, передающейся через API, отвечают криптографические алгоритмы и специальные протоколы передачи данных. 

Стандарт по хранению платёжных данных PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — основной стандарт безопасности платёжных систем. Он описывает, как должны быть зашифрованы данные и по каким каналам можно их передавать. Сертификацию на PCI DSS получает и банк, и коммерческий партнёр, который работает с платёжными реквизитами. Соответствие требованиям стандарта проверяют при помощи внутреннего анализа, внешнего аудита и автоматизированного сканирования уязвимости сети.   

Простые каналы шифрования и сложные системы криптографии

Простые каналы обеспечивают доступ к бэк-офису банка с конкретных IP-адресов из белого списка. Один из самых простых и популярных протоколов передачи данных — HTTP c SSL сертификатом (или HTTPS). Протокол зашифровывает информацию так, чтобы она была недоступной для третьих лиц. 

Самый сложный и безопасный вариант шифрования каналов передачи данных — VIPnet. Эта технология, как и привычная VPN, предназначена для безопасного соединения локальных сетей и создания защищённого доступа к информации. Но в отличие от обычных VPN-систем, VIPnet не вводит дополнительную процедуру синхронизации и выработки ключей в ходе обмена защищенными сведениями. Так сеть становится более устойчивой к различным атакам. Через VIPnet работают не только кредитные организации, но и все государственные органы в стране. 

Разделение зон ответственности банка и партнёра

Этот способ обеспечения сохранности сведений не связан с криптографией — но безопасность становится неотъемлемой частью процесса, в котором чётко поделены функции и ответственность участников. 

Пример. Предприниматели, которые сотрудничают с маркетплейсами, подключают в «Делобанке» приём оплаты от покупателей через СБП без открытия расчётного счёта. Это возможно, если маркетплейс с помощью агентского API банка пользуется его инфраструктурой. Приём платежей через СБП сокращает издержки и позволяет клиентам расплачиваться телефоном по QR-коду. 

В основе этого кейса лежит технология выплат B2C через СБП, куайринг, ERP-система и API. За СБП и куайринг отвечает «Делобанк», а ERP-систему предоставляет партнёр. Отправка платёжного требования происходит через API, которым владеет банк, но инициирует запрос бизнес. В итоге функции не дублируют, а дополняют друг друга — и на выходе получается полностью жизнеспособный и лишенный рисков процесс.

Оплата через СБП без открытия расчётного счёта — не единственный проект «Делобанка», реализованный на базе собственного процессинга. У клиентов есть возможность интегрировать технические решения и получить индивидуальные условия по эквайрингу, зарплатным проектам и самоинкассации. Посмотреть все предложения, узнать условия и оставить заявку на интеграцию сервисов банка можно на странице «Несредние условия для бизнеса».

Таким образом, банковские сервисы оснащены мощной цифровой защитой: взломать их практически невозможно. Но если такое всё же случится, отдел информационной безопасности мгновенно отреагирует и отразит кибератаку. 

Защита данных и регулярная поддержка опытных сотрудников — лишь некоторые из преимуществ, которые даёт формат BaaS. Подробнее о пользе сотрудничества с банком читайте в статье «Какие проблемы крупного бизнеса решит аренда банковской инфраструктуры»

Коротко о главном 

  1. Модель BaaS — «банк-как-сервис» — основной метод реализации идеи открытого банкинга. Эта модель помогает среднему и крупному бизнесу из любых отраслей арендовать и использовать банковские возможности и услуги. 

  2. Интеграция инфраструктуры бизнеса и банка происходит на основе API — единого интерфейса прикладного программирования. API-алгоритмы встраиваются в учётные системы пользователя и обеспечивают доступ к платёжным инструментам и сервисам.

  3. Информация, которая передаётся через API, защищена с помощью простых протоколов передачи данных, например, HTTPS, и сложных систем шифрования, таких как VIPnet. Эти технологии создают безопасное соединение и закрывают доступ к данным для третьих лиц. За сохранность платёжных сведений отвечает стандарт PCI DSS, сертификацию на который получают обе стороны. 

  4. В модели BaaS используются и другие технологии, к примеру, блокчейн в тандеме со смарт-контактами обеспечивает быстрое и прозрачное выполнение банковских операций. А благодаря ERP-системе бизнес может полностью контролировать финансовые процессы.

Как подготовить компанию к применению метода ситуационного планирования
9 декабря
#налоги
Ликбез
Как подготовить компанию к применению метода ситуационного планирования
Делобанк вошел в топ-3 лучших федеральных интернет-банков для бизнеса по результатам рейтинга Markswebb
9 декабря
Новости
Делобанк вошел в топ-3 лучших федеральных интернет-банков для бизнеса по результатам рейтинга Markswebb
Откройте расчетный счет за 10 минут
или получите консультацию по другим продуктам банка
Ввод номера телефона подтверждает ваше согласие на обработку персональных данных