PSD2 Open API

API Definition možete preuzeti ovdje

API Specification možete preuzeti ovdje

Uvod

Revidirana Direktiva o platnim uslugama (Payment Services Directive, PSD2) jest direktiva koja se temelji na podacima i tehnologiji te čiji je cilj povećati tržišno natjecanje, inovacije i transparentnost na cijelom europskom tržištu plaćanja, uz istodobno unaprjeđenje sigurnosti internetskog plaćanja i pristupa računu.

Među ostalim, [PSD2] sadrži pravila o novim uslugama koje će pružati takozvani treći pružatelji platnih usluga (Third Party Payment Service Provider, TTP) u ime korisnika platnih usluga (Payment Service User, PSU). Te nove usluge su sljedeće:

  • usluga iniciranja plaćanja (Payment Initiation Service, PIS) koju će pružati TPP pružatelj usluge iniciranja plaćanja (Payment Initiation Service Provider, PISP) kako je utvrđeno člankom 66. [PSD2],
  • usluga informiranja o računu (Account Information Service, AIS) koju će pružati TPP pružatelj usluga informiranja o računu (Account Information Service Provider, AISP) kako je utvrđeno člankom 67. [PSD2] i
  • usluga potvrde raspoloživosti sredstava (Confirmation on the Availability of Funds Service, FCS) koju će pružati TPP pružatelj usluge izdavanja platnog instrumenta (Payment Initiation Service Provider, PISP) kako je utvrđeno člankom 65. [PSD2].

Kako bi proveo ove nove usluge (podložno suglasnosti korisnika platnih usluga (PSU), treći pružatelj platnih usluga (TPP) treba pristupiti računu PSU-a. Račun obično vodi drugi pružatelj platnih usluga (PSP), odnosno pružatelj platnih usluga koji vodi račun (Account Servicing Payment Service Provider, ASPSP). Kako bi podržao TPP-a u pristupu računima koje vodi ASPSP, svaki ASPSP mora osigurati „sučelje za pristup računu“ (XS2A sučelje).

Odgovornosti i prava TPP-a i ASPSP-a u pogledu interakcije preko XS2A sučelja su definirane i uređene [PSD2]-om. Osim toga, detaljniji zahtjevi za provedbu i rad XS2A sučelja definirani su tehničkim regulatornim standardima Europskog nadzornog tijela za bankarstvo [EBA-RTS]. 

Ključni ciljevi:

  • Doprinos integriranijem i učinkovitijem europskom tržištu plaćanja
  • Poboljšanje jednakih uvjeta tržišnog natjecanja za pružatelje platnih usluga (uključujući nove sudionike na tržištu)
  • Povećanje sigurnosti i zaštite plaćanja
  • Zaštita potrošača
  • Poticanje nižih cijena za plaćanja

Osnovu za regulatorne zahtjeve čine sljedeći dokumenti:

  • Platne usluge (PSD2) - Direktiva (EU) 2015/2366
  • Regulatorni tehnički standardi (RTS) za pouzdanu autentifikaciju klijenta (SCA) i zajedničke i sigurne otvorene standarde komunikacije (CSC)
  • Lokalni zakon kojim se direktiva prenosi u zakonodavstvo: „Zakon o platnom prometu” (ZPP), objavljen u Narodnim novinama br. 66/2018 od 20. srpnja 2018.

 

Inicijativa NextGenPSD2 Berlinske skupine

Inicijativa NextGenPSD2 posebna je radna skupina u okviru Berlinske skupine s ciljem stvaranja zajedničkog, otvorenog i usklađenog europskog standarda za sučelje namjenskih programa (Application Programming Interface, API) kojim bi se trećim pružateljima usluga (TPP-ovi) omogućio pristup bankovnim računima u skladu s revidiranom Direktivom o platnim uslugama (PSD2). U jedinstvenom partnerstvu, sudionici u inicijativi NextGenPSD2 zajedno rade na ostvarivanju zajedničke vizije da su otvoreni i usklađeni standardi PSD2 XS2A sučelja za procese, podatke i infrastrukture nužne sastavnice otvorenog, interoperabilnog tržišta. Stvarna interoperabilnost ključna je komponenta konkurentnih paneuropskih PSD2 XS2A usluga kojom će se pridonijeti daljnjem napretku prema jedinstvenom europskom tržištu te od koje će koristi imati cijela industrija platnih usluga, a posebno europski potrošači i poduzeća.

 

Dok je usklađeno XS2A sučelje nužno za omogućavanje razvoja XS2A usluga u njihovu obujmu i po relativno niskim troškovima, cjeloviti PSD2 XS2A ekosustav obuhvaća i ostala tehnička, funkcionalna, operativna i upravljačka područja s (ponekad izbornim) komplementarnim uslugama, kako je prikazano na sljedećoj slici:

Ključne karakteristike NextGenPSD2 okvira su:

  • Moderni „RESTful” API set koji upotrebljava HTTP/1.1 uz TLS 1.2 (ili viši) kao protokol za prijenos podataka
  • Integriranje povratnih informacija iz javnog savjetovanja u prvoj verziji nacrta
  • Identifikacija TPP-a putem ETSI viii -definiranih eIDAS certifikata: QWACS je obvezan (jednostavna mjera zaštite od npr. DDOS napada), a QSEALS izboran za banke (TPP prati upute banke)
  • Podržava sve PSD2-om zahtijevane slučajeve pružanja usluga iniciranja plaćanja, usluga informiranja o računu i usluga potvrde raspoloživosti sredstava, dok su buduća, višestruka/skupna i periodična plaćanja izborna (ovisno o podršci u okviru online bankarstva ili nacionalnog zakonodavstva)
  • Potpuna viševalutna podrška računa
  • Četiri modela arhitekture za pouzdanu autentifikaciju klijenta (SCA):  preusmjeravanje, OAuth2, odvojeno i „ugrađeno“, s utjecajem TPP-a na prednost preusmjeravanja
  • Višerazinski SCA pristup za poduzeća, npr. podupiranje načela dvostruke provjere („četiri oka“)
  • Podržava račune za namirenje kartičnih transakcija
  • Upotrebljava „košarice“ za potpisivanje kao instrument za potpisivanje grupiranih transakcija (umjesto funkcija višestrukog plaćanja)
  • Transparentna struktura resursa (omogućava TPP-ovima pregled čak i u složenim poslovnim procesima)
  • Posebna suglasnost za API, čime se obrada suglasnosti odvaja od pristupa računu, pri čemu se poštuju zahtjevi PSD2-a i GDPR-a
  • Izborna podrška tijekom sesije (skupa uzastopno izvršenih transakcija) podložno odgovarajućoj suglasnosti klijenta
  • Podatkovne strukture, bilo kao (ovisno o zahtjevima za maloprodaju u odnosu na one za poduzeća)
    • JSON s podatkovnim modelom koji se temelji na ISO 20022 ili
    • XML s pain.001 za PISP-ove i camt.05x za AISP-ove
  • Integrirani formalni i transparentan proces upravljanja promjenama i izrade verzija
  • Mogućnost dodatnih proširenja koja omogućavaju izgradnju („non-core“ PSD2) usluga s dodanom vrijednošću

Za više pojedinosti vidjeti pregled NextGenPSD2-a ovdje.

Hrvatska udruga banaka se u rujnu 2017. pridružila Berlinskoj skupini. Iako je tada još bila u povojima, za inicijativu NextGenPSD2 smatralo se da može dovesti do stvaranja zajedničkog standarda API za kreditne institucije koji nedostaje. Danas se standard API Berlinske skupine smatra dominantnom inicijativom za uvođenje standarda PSD2 API koju podupiru kreditne institucije diljem cijelog EU-a.

Banke članice u Hrvatskoj koje podupiru HUB-ovu inicijativu PSD2

Addiko Bank d.d.

Agram banka d.d.

BKS bank AG

Erste&Steiermärkische Bank d.d.

Hrvatska Poštanska Banka d.d.

Istraska Kreditna Banka Umag d.d.

Karlovačka banka d.d.

OTP Banka d.d.

Partner banka d.d.

Privredna banka Zagreb d.d.

Raiffeissenbank Austria d.d.

Sberbank d.d.

Zagrebačka banka d.d.

Dokumentacija API

 

Kao članici Berlinske skupine, osnovna dokumentacija koja se odnosi na PSD2 API u Hrvatskoj jest dokumentacija NextGenPSD2. Dokumentacija CBA PSD2 proizlazi iz dokumentacije NextGenPSD2 API.

 

Struktura

Dokumentacija PSD2 API za hrvatsko tržište može se podijeliti na tri hijerarhijske razine:

  1. Dokumentacija NextGenPSD2 API
  2. Dokumentacija CBA PSD2 API
  3. Dokumentacija ASPSP-a

Ovisnosti između svake skupine dokumentacije opisane su na sljedećoj slici:

Dokumentacija NextGenPSD2 API

Sami NextGenPSD2 okvir izgrađen je od 5 elementa koji su svi besplatno objavljeni u okviru licenci Creative Commons (CC-BY-ND):

  1. Uvodni dokument
  2. Dokument s operativnim pravilima kojim se obuhvaćaju opis usluge, apstraktni (logički) podatkovni model i detaljan opis tijeka procesa u B2B sučelju
  3. Provedbene smjernice u kojima se navode tehnički detalji sučelja XS2A, uključujući sheme XML/JSON
  4. Formati krajnjih točaka za specifične platne proizvod na domaćoj razini, koji se koriste kod iniciranja plaćanja
  5. Datoteka OpenAPI koja provoditeljima pomaže u razvoju

Banke i TPP-ovi upotrebljavaju te dokumente za provedbu pristupa bankovnim računima koji se zahtijeva PDS2-om.

 

Najnovije izdanje NextGenPSD2 okvira možete preuzeti ovdje.

 

Dokumentacija CBA PSD2 API

Najnovija verzija dokumentacije CBA PSD2 API je x.x i možete ju pronaći ovdje. Verzija x.x sadrži reference na Provedbene smjernice za NextGenPSD2 x.x

Arhivirane verzije nalaze se ovdje.

 

Dokumentacija ASPSP-a

ASPSP 

PSD2 API URL

Addiko Bank d.d.

https://oapideveloper.addiko.hr

Agram banka d.d.

http://www.agrambanka.hr/agram-psd2

BKS Bank AG

https://www.bks.hr/psd2

Erste&Steiermärkische Bank d.d.

https://developers.erstegroup.com/

Hrvatska Poštanska Banka d.d.

https://openbanking.hpb.hr

Istarska Kreditna Banka Umag d.d.

http://www.ikb.hr/hr/psd2

Karlovačka banka d.d.

https://www.kaba.hr/psd2/docs/

OTP Banka d.d.

https://api.otpbanka.hr/

Partner banka d.d.

https://e.paba.hr/tpp/

Podravska banka d.d.

https://www.poba.hr/index.php?cat=psd2

Privredna banka Zagreb d.d.

https://apiportal.pbz.hr

Raiffeissenbank Austria d.d.

https://sandbox.rba.hr/

Sberbank d.d.

https://www.sberbank.hr/psd2/

Slatinska banka d.d.

https://www.slatinska-banka.hr/psd2

Zagrebačka banka d.d.

https://developer.unicredit.eu/

 

Životni ciklus dokumentacije

Prema Regulatornom tehničkom standardu (RTS): „...pružatelji platnih usluga koji vode račune osiguravaju, osim u izvanrednim situacijama, dostupnost svih izmjena tehničkih specifikacija svojih sučelja ovlaštenim pružateljima usluga iniciranja plaćanja, pružateljima usluga pružanja informacija o računu i pružateljima platnih usluga koji izdaju kartične platne instrumente ili pružateljima platnih usluga koji su svojim nadležnim tijelima podnijeli zahtjev za izdavanje relevantnog odobrenja, što je ranije moguće unaprijed, a najkasnije tri mjeseca prije implementacije izmjene.“

Kako bi imali pristup ažurnoj najnovijoj dokumentaciji, TPP-ove potičemo da se pretplate na sve izmjene dokumentacije koje mogu utjecati na API. Sve izmjene API-jeva objavit će se u skladu s pravilima RTS-a.

 

Povezani dokumenti i reference

[X2A-ImplG]

Okvir NextGenPSD2 X2A, Provedbene smjernice, Zajednička inicijativa Berlinske skupine u pogledu sučelja X2A usklađenog s PSD2, verzija 0.99, objavljene 2. listopada 2017.

[eIDAS]

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ

[PSD2]

Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća o platnim uslugama na unutarnjem tržištu, objavljena 25.11.2015.

Otvoreni API

https://www.openapis.org/

https://swagger.io/specification/]

EBA RTS

Mišljenje Europskog nadzornog tijela za bankarstvo o primjeni RTS-a za SCA i CSC od 13. lipnja 2018.

Smjernice EBA-e

Smjernice o uvjetima ostvarivanja koristi od izuzeća od mehanizma za izvanredne situacije na temelju članka 33. stavka 6. Uredbe (EU) 2018/389 (RTS za SCA i CSC)

EBA eIDAS

Mišljenje o uporabi eIDAS certifikata u skladu s RTS-om za SCA i CSC

 

 

 

 

 

 

 

 

 

 

 

 

 

Kratice

Kratica

Opis

AIS

Usluga informiranja o računu prema članku 4. točki 16. [PSD2] te sukladno članku 67. [PSD2].

AISP

Pružatelj usluga informiranja o računu koji svojem klijentu nudi AIS. Vidjeti članak 4. točku 19. [PSD2].

API

Sučelje namjenskih programa.

ASPSP

Pružatelj platnih usluga koji vodi račun koji pruža i vodi račun za plaćanje platitelja. Vidjeti članak 4. točku 17. [PSD2].

CBA

Hrvatska udruga banaka (HUB)

EBA

Europsko nadzorno tijelo za bankarstvo

eIDAS

Elektronička identifikacija, autentifikacija i usluge povjerenja

IAM

Komponenta globalne arhitekture za Upravljanje identitetom i pristupom

OAuth2

Ovaj protokol, koji programima trećih strana omogućava dobivanje ograničenog pristupa usluzi HTTP.

PIISP

Pružatelj usluge izdavanja platnog instrumenta u skladu s člankom 4. točkama 14. i 45. [PSD2]. PIISP se može koristiti uslugom „potvrde raspoloživosti sredstava“ u skladu s člankom 65. [PSD2].

PIS

Usluga iniciranja plaćanja prema članku 4. točki 15. [PSD2] te sukladno članku 66. [PSD2].

PISP

Pružatelj platnih usluga koji svojem klijentu nudi PIS. Vidjeti članak 4. točku 18. [PSD2].

PSP

Pružatelj platnih usluga u skladu s člankom 4. točkom 11. [PSD2]

PSU

Korisnik platnih usluga u skladu s člankom 4. točkom 10. [PSD2]

RTS

Regulatorni tehnički standardi EBA-e za pouzdanu autentifikaciju klijenta i zajedničke i sigurne otvorene standarde komunikacije

SCA

Pouzdana autentifikacija klijenta – postupak autentifikacije temelji se na dva faktora u skladu sa zahtjevima [PSD2] i [EBA-RTS].

SCT

Kreditni transfer SEPA

SDD

Izravno terećenje SEPA

TPP

Treći pružatelj usluga – generički izraz za AISP-a/PIISP-a/PISP-a.

X2A

Sučelje za pristup računu – sučelje koje ASPSP osigurava TPP-u radi pristupa računu. (= API / sučelje)