tredjeparters tilgang til bankkonti - hva gjør næringen? · (walter isaacson: the innovators) hva...
TRANSCRIPT
Tredjeparters tilgang til bankkonti - hva gjør
næringen?
Lars Erik Fjørtoft, Daglig leder
18.11.2015
• Temaet er potensialet knyttet til digital samhandling med tredjeparter
• Ikke fokus på PSD II / compliance
• Ikke problematiserende, men utforskende når det gjelder muligheter
knyttet til samarbeid med tredjeparter
• Ikke avgrensende for hvem som kan være tredjeparter
• ”Bankkonti” benyttet som samlebetegnelse på det som gjør at banken
er navet i kundenes økonomiske hverdag
Presiseringer
Noen gode grunner til at det er lurt å åpne seg
• Bedre (og bredere) løsninger til kunder
• Innovasjon og raskere realisering
• Inspirasjon og nye muligheter
• Nye forretningsmodeller
• Mulighet for å fortsatt ha rolle som premissgiver
• (fordi bankene uansett må åpne seg som følge av PSD2….)
”Technological innovation is all about
borrowing, stealing and collaboration” (Walter Isaacson: The Innovators)
Hva gjør næringen?
Byggeklosser
• Vi har forankret på ledernivå (Hovedstyret i Finans Norge) at vi ønsker
å samhandle mer effektivt med tredjeparter (strategisk)
• Vi har prioritert ressurser og innsats for å etablere relevant dialog og
kunne bidra i prosjekter, men her har vi fortsatt MYE å gå på…
(taktisk)
• Vi har satt i gang prosjekter (teknisk) for å:
#1 etablere et fleksibelt nettverk for å sikre ”connectivity” (Baltus 2.0)
#2 standardisere på ”ikke-proprietære” meldingsformater (ISO
20022)
#3 utvikle krav til sikkerhet hos tredjeparter (TIFI)
#4 utvikle API ’er for å gi tilgang fellesløsninger
Byggekloss #1: Baltus 2.0
• Bankene er i sluttfasen av et prosjekt for å utvikle ny infrastruktur for
meldingsutveksling mellom bankene og med tredjeparter
• Prosjektfokus nå er migrering for eksisterende tjenester
• Dette vil være bunnpannen for all informasjonsutveksling og det vil
også være vårt grensesnitt mot tredjeparter når alle bankene skal nåes
BALTUS 2.0 Infrastrukturen
NOP
AO
AO
AO
AO
N N
N N
CRT
A
A
A
AA
N
By request from N
BSKFinans Norge
NOP NOP
CRO
Byggekloss #2: ISO 20022
Internasjonal meldingsstandard for finansielle meldinger
•tilrettelagt for interoperabilitet i hele verdikjeden mellom bankene og deres
kunder/brukere
Utviklet gjennom en aktør/industridrevet prosess i regi av ISO:
•Bransjeorientert bibliotek tilrettelegger for å presentere transaksjoner tilpasset
forretningsprosesser uavhengig av overføringsformat
•XML valgt som det foretrukne format
•EU valgte ISO 20022 xml som standard for SEPA (lovregulert)
•CGI MP etableres (Common Global Implementation (CGI) initiative)
•Stadig flere land verden over velger ISO 20022 som basis for sine finansielle
meldinger
Bankene vedtok 12.03.14 et veikart for overgang til ISO 20022 i Norge
Veikart for overgang til bruk av ISO 20022 modellerings
standard for betalingsformidling i norsk banknæring
Inte
rban
k
Ko
rt
2014 2015 2016 2017 2018 2019 2020
Fase 0
Fase 0
Fase 0
Fase 1
Fase 2
Fase 1
Fase 2
Fase 3
Fase 1
Fase 2
Fase 3
Fase 3
Fase 0: Analyse for kompetanse-
behov og kommunikasjonsplan
Fase 1: Man er godt i gang med
meldings-håndbøker
Fase 2: Implementering hos
banker
Fase 3: Implementering hos
kunder/ERP leverandører og
utfasing av eksisterende standarder
Fortrinnsvis utgang 2018 seinest
2020
Fase 0: Analyse for ressursbehov.
Prosjketmandat
Fase 1: Prosjektplan, spesifikasjon
av løsning
Fase 2: Implementering hos
banker og fellesfunksjon
Fase 3: Overgang fra BOLS /
NIBE
Fase 0: Analyse for ressurs-behov.
Prosejktmandat
Fase 1: Prosjektplan, spesifikasjon
av løsning
Fase 2: Implementering hos
banker, FOI og terminal
Fase 3: Overgang fra NISOK
NB!! for kort-området har vi så
langt for lite kunnskap til å tidfeste
fase 1-3, dette er indikativ
angivelse, hvor sannsynlig
sluttidspunkt er nærmere 2022/23
Ku
nd
e/b
an
k
• November 2013 ga BSK styret administrasjonen oppdrag å utarbeide
regelverk for tilgang til og bruk av bankenes felles infrastruktur (TIFI)
for tredjepartsaktører (TPP).
• Prosjektet har vært delt opp i 3 faser
• Fase 1 – Kartlegging av eksisterende løsninger
• Fase 2 – Spesifikasjon av sikkerhetsmål
• Fase 3 – utarbeidelse av detaljerte sikkerhetskrav,
• Styret vedtok sikkerhetsmålene i mai 2014
• Styret vedtok kravene i mai 2015
Dette har vært en modningsprosess for alle involverte
Byggekloss #3 utvikle krav til sikkerhet hos tredjeparter (TIFI)
Metoden
Formål med kravdokumentet
The objective of this document is to define a framework for information security
requirements for accessing payment account in Account Servicing Payment Service
Providers (ASPSP) for Third Party Payment Providers (TPP) through the common
banking infrastructure in Norway, based on bilateral agreements with banks.
Kravene er definert under 5 hovedområder
Governance
IT technical security architecture
Authentication of TPP and payment service user
Authorization of TPP and Payment
Fraud detection and prevention
Kravdokumentet
• Kravene er anbefalt brukt der bank inngår en avtale om
tredjeparters tilgang til konto
• Kravene vil være obligatoriske om Finans Norge etablerer
tjenester som innebærer tredjeparters tilgang til konto
• Kravene vil være obligatoriske om bank inngår avtale om
tredjeparters tilgang til konto via bankenes felles
infrastruktur (BALTUS, Fellesfunksjoner, etc)
• Det er et mål at det skal være fordelaktig for tredjeparter å
inngå avtale med bankfellesskapet om tilgang til konto
istedenfor å få tilgang i samsvar med PSD2.
Virkeområder for kravene
Byggekloss #4 utvikle API ’er for å gi tilgang fellesløsninger
• API definisjon, an abbreviation of application program interface, is a set of routines,
protocols, and tools for building software applications. The API specifies how software
components should interact and APIs are used when programming graphical user
interface (GUI) components.
• Vi har startet en diskusjon om hvordan vi skal innrette oss for å utvikle API’er
• API’er inngår som del av vår planlagte videreutvikling av Baltus 2.0
• vi har konkrete diskusjoner med AltInn om å etablere grensesnitt for å
håndtere automatisert informasjonsinnsamling ifm låneprosesser
• Vi er også involvert i internasjonale diskusjoner om RMG (ansvarlig for videreutvikling av
ISO 20022) har satt ned en aktivitet for å utforske muligheter til å utvikle API’er i ISO
20022
• Dette er også en diskusjon i EU som følge av PSDII og vi følger godt med også der
Hva gjenstår?
Gjenstående aktiviteter
• Vi må prosjektorganisere oss for å sikre at vi har tilstrekkelig ”trykk” for
å realisere løsning og som tar hensyn til at vi må:
• tiltrekke oss dialog med relevante samarbeidsparter
(tredjeparter)
• utforme en helhetlig teknisk arkitektur
• avklare avtalemessige aspekter
• ha gode mekanismer for prioritering av verdikjeder og
tjenester
• ha god dialog med myndigheter
• ha MEGET god dialog med relevante miljø i bankene
Det er også noen åpne spørsmål
• Hvordan tenker bankene egentlig om samarbeid med tredjeparter og
ikke minst egen tilpasning til PSDII?
• Hvordan kan vi tiltrekke oss de riktige samarbeidsrelasjonene:
• Innovatører
• Offentlig sektor
• Leverandører av kompletterende tjenester
• Nye brukere og kunder
Er vi raske og fleksible nok?
Aksepterer vi at ”andre” skal tjene penger på bruk av ”vår”
infrastruktur?
Vil vi lykkes med å utvikle attraktive forretningsmodeller?
Spørsmål eller kommentarer?