Потребность в собственных финансовых продуктах способствовала развитию качественно нового уровня взаимодействия бизнеса и банка по модели BaaS. Формат «банк-как-сервис» позволяет крупным корпорациям, интернет-ритейлерам, маркетплейсам, транспортным компаниям арендовать банковские мощности и внедрять платёжные инструменты в свою инфраструктуру.
Интеграция происходит на основе API — единого программного интерфейса, который обеспечивает связь программ банка и бизнеса. Вся информация, которая передаётся через API, шифруется с помощью стандартов передачи данных и систем криптографии. Поэтому созданная сеть обладает высоким уровнем цифровой защиты от взломов и утечки информации.
Рассказываем, на основе каких технологий и систем функционирует BaaS и за счёт чего банк обеспечивает безопасность данных партнёра. Если нет времени на чтение всей статьи, переходите к заключению: в нём основная информация тезисно.
Как устроена архитектура BaaS
Модель BaaS — «банк-как-сервис» — первый шаг на пути к формированию Open Banking. Концепция открытого банкинга реализуется во многих странах, в том числе в России. Формат доступности финансовых продуктов упрощает выход на рынок компаниям-новичкам, способствует развитию уже существующего бизнеса и создаёт здоровую конкурентную среду.
Поставщики BaaS предоставляют свою инфраструктуру на основе API — интерфейсов прикладного программирования, благодаря которым программы или приложения взаимодействуют друг с другом. Для их запуска не требуется специальная лицензия, длительный срок или большие материальные вложения. Многие компании встраивают API в свои сайты. Например, Aviasales на его основе выдаёт актуальные данные о ценах билетов сотен продавцов, а приложения по доставке еды используют API для связи с гугл-картами.
Банки продвигают применение API в целях создания открытой экосистемы финансовых технологий. Доля кредитных учреждений, которые инвестировали в такие интерфейсы, увеличилась с 35% в 2019 году до 47% в 2021 году. Ещё 25% планируют сделать это в 2022 году.
Агентский интерфейс открывает банковские возможности для финтех-стартапов и для любых нефинансовых организаций, к примеру, операторов перевозок или ритейла. Через API бизнес может получить доступ к платёжному функционалу или целому сервису. Для этого алгоритмы интегрируются в учётные системы пользователя. Он сам выстраивает бизнес-логику, но в пределах установленных правил и рамок.
Что касается информации, то и у бизнеса, и у банка есть свои хранилища, а взаимодействие и обновление данных происходит также с помощью API. Вся система хранения и обработки сведений базируется на законе № 115-ФЗ «О противодействии легализации преступных доходов».
В BaaS применяется множество других инновационных систем и технологий, в том числе:
Блокчейн и смарт-контакты. Блокчейн — современный подход к хранению информации в виде цепочки блоков. При этом не существует единого центра управления, поэтому данные хранятся одновременно у каждого участника сети на равных правах. Технология позволяет информации оставаться неизменной и безопасной, а самой сети устойчивой к внешним и внутренним атакам. Блокчейн активно используют такие отрасли, как логистика, финансовая сфера и здравоохранение.
В блокчейне можно сгенерировать автоматическое соглашение между несколькими сторонами — смарт-контакт. Это аналог обычного юридического договора, но заданный с помощью алгоритмов сети. Поэтому его нельзя изменить в одностороннем порядке: программа строго следит, как стороны выполняют соглашение. Благодаря смарт-контактам почти на 100% решена проблема человеческой ошибки.
Блокчейн в сочетании со смарт-контактами позволяет выполнять заложенные в алгоритмах действия, например, валидировать прохождение оплаты от клиента быстро и прозрачно.
ERP-система. Система управления бизнес-процессами (Enterprise Resource Planning) — это набор программных модулей, в которых собрана вся информация о деятельности организации. В ERP можно настраивать логистику, вести учёт товарооборота, имущества, сотрудников, документацию и автоматизировать рабочие процессы. Банкинг через единый интерфейс встраивается прямо в ERP-систему, благодаря чему финансовые услуги и продукты становятся полностью подконтрольны компании-партнёру.
BPM. Методология управления бизнес-процессами (Business Process Management) — практика, которая нацелена на оптимизацию бизнес-процессов в компании. Любой процесс — хоть продажи, хоть логистику — можно сделать эффективнее. Для этого нужно распределить задачи и зоны ответственности, смоделировать процесс в BPM-системе и внедрить в реальную деятельность. А дальше на основе мониторинга KPI либо оставить в прежнем виде, либо пройти цикл заново и доработать процесс.
В целом технологические компоненты могут заменять и дополнять друг друга. Но всегда неизменным остаётся ключевой формат архитектуры BaaS: система клиента — API-интерфейс — банк.
За счёт чего банк гарантирует безопасность данных партнёра
За безопасность информации, передающейся через API, отвечают криптографические алгоритмы и специальные протоколы передачи данных.
Стандарт по хранению платёжных данных PCI DSS
PCI DSS (Payment Card Industry Data Security Standard) — основной стандарт безопасности платёжных систем. Он описывает, как должны быть зашифрованы данные и по каким каналам можно их передавать. Сертификацию на PCI DSS получает и банк, и коммерческий партнёр, который работает с платёжными реквизитами. Соответствие требованиям стандарта проверяют при помощи внутреннего анализа, внешнего аудита и автоматизированного сканирования уязвимости сети.
Простые каналы шифрования и сложные системы криптографии
Простые каналы обеспечивают доступ к бэк-офису банка с конкретных IP-адресов из белого списка. Один из самых простых и популярных протоколов передачи данных — HTTP c SSL сертификатом (или HTTPS). Протокол зашифровывает информацию так, чтобы она была недоступной для третьих лиц.
Самый сложный и безопасный вариант шифрования каналов передачи данных — VIPnet. Эта технология, как и привычная VPN, предназначена для безопасного соединения локальных сетей и создания защищённого доступа к информации. Но в отличие от обычных VPN-систем, VIPnet не вводит дополнительную процедуру синхронизации и выработки ключей в ходе обмена защищенными сведениями. Так сеть становится более устойчивой к различным атакам. Через VIPnet работают не только кредитные организации, но и все государственные органы в стране.
Разделение зон ответственности банка и партнёра
Этот способ обеспечения сохранности сведений не связан с криптографией — но безопасность становится неотъемлемой частью процесса, в котором чётко поделены функции и ответственность участников.
Пример. Предприниматели, которые сотрудничают с маркетплейсами, подключают в «Делобанке» приём оплаты от покупателей через СБП без открытия расчётного счёта. Это возможно, если маркетплейс с помощью агентского API банка пользуется его инфраструктурой. Приём платежей через СБП сокращает издержки и позволяет клиентам расплачиваться телефоном по QR-коду.
В основе этого кейса лежит технология выплат B2C через СБП, куайринг, ERP-система и API. За СБП и куайринг отвечает «Делобанк», а ERP-систему предоставляет партнёр. Отправка платёжного требования происходит через API, которым владеет банк, но инициирует запрос бизнес. В итоге функции не дублируют, а дополняют друг друга — и на выходе получается полностью жизнеспособный и лишенный рисков процесс.
Оплата через СБП без открытия расчётного счёта — не единственный проект «Делобанка», реализованный на базе собственного процессинга. У клиентов есть возможность интегрировать технические решения и получить индивидуальные условия по эквайрингу, зарплатным проектам и самоинкассации. Посмотреть все предложения, узнать условия и оставить заявку на интеграцию сервисов банка можно на странице «Несредние условия для бизнеса».
Таким образом, банковские сервисы оснащены мощной цифровой защитой: взломать их практически невозможно. Но если такое всё же случится, отдел информационной безопасности мгновенно отреагирует и отразит кибератаку.
Защита данных и регулярная поддержка опытных сотрудников — лишь некоторые из преимуществ, которые даёт формат BaaS. Подробнее о пользе сотрудничества с банком читайте в статье «Какие проблемы крупного бизнеса решит аренда банковской инфраструктуры».
Коротко о главном
-
Модель BaaS — «банк-как-сервис» — основной метод реализации идеи открытого банкинга. Эта модель помогает среднему и крупному бизнесу из любых отраслей арендовать и использовать банковские возможности и услуги.
-
Интеграция инфраструктуры бизнеса и банка происходит на основе API — единого интерфейса прикладного программирования. API-алгоритмы встраиваются в учётные системы пользователя и обеспечивают доступ к платёжным инструментам и сервисам.
-
Информация, которая передаётся через API, защищена с помощью простых протоколов передачи данных, например, HTTPS, и сложных систем шифрования, таких как VIPnet. Эти технологии создают безопасное соединение и закрывают доступ к данным для третьих лиц. За сохранность платёжных сведений отвечает стандарт PCI DSS, сертификацию на который получают обе стороны.
-
В модели BaaS используются и другие технологии, к примеру, блокчейн в тандеме со смарт-контактами обеспечивает быстрое и прозрачное выполнение банковских операций. А благодаря ERP-системе бизнес может полностью контролировать финансовые процессы.
