Der Artikel ist für die GUS-Länder von geringem Nutzen, aber es könnte Ihnen gefallen
Ich habe in letzter Zeit viel mit der API verschiedener Banken gearbeitet. Dafür gibt es einen Grund - eine neue Richtlinie namens PSD2 (Revised Payment Service Directive). Ich werde dir von ihr erzählen.
Eintrag
Alles begann mit Unternehmen wie PayPal. Sie registrieren sich auf der PayPal-Website, die wiederum Ihre Kreditkarte abholt, bei Bedarf Geld abhebt, Selbstbehalte auf ihren Konten ansammelt und am festgelegten Tag den gesamten n-ten Geldbetrag auf das Konto des Online-Shops überweist. So bleibt Ihre Kreditkarte sicher, der Online-Shop spart Geld, was bedeutet, dass Sie Geld sparen. Es scheint, dass jeder gut ist.
Auf der anderen Seite stellt sich eine logische Frage: Verliert das Geschäft Kunden, die keine Kreditkarte haben oder keine für einzelne Einkäufe im Internet haben möchten ?!
Und hier kommen kleinere Unternehmen auf die Bühne, die nicht Ihre Kreditkarte, sondern Ihr Bankkonto in Betrieb nehmen. Nicht einmal das, Ihr Online-Banking! Jetzt brauchen Sie keine Kreditkarte, Sie brauchen kein PayPal, Sie müssen nicht einmal mehr überweisen. Sie geben einfach Ihren Benutzernamen und Ihr Passwort auf der Website des Shops ein und der Vermittler erledigt den Rest für Sie.
Sie geben Daten in das Formular auf der Website des Online-Shops ein, der Vermittler gibt gleichzeitig dieselben Daten in das Formular der Online-Bank ein und klickt dann mit Hilfe derselben Selenium-Klicks hier und da in Ihre Online-Bank, um bei Bedarf eine Überweisung vorzunehmen. Genauer gesagt, auf eigene Kosten, von wo aus er dann alle paar Wochen alle Gelder auf die Konten der Geschäfte schickt.
Natürlich funktioniert all dies bei jeder Änderung auf der Seite der Online-Bank sofort nicht mehr, was die Leute nervt. Aber Banken ändern selten etwas, so dass dies selten passiert.
Eine andere Sache ist, dass einige Banken eine solche Sicherheitslücke nicht wirklich mögen, also versuchen sie, solche Vermittler zu blockieren. Wie erfolgreich und genau wie sie es tun, kann lange diskutiert werden, aber der Artikel wird sich hinziehen.
Im Allgemeinen hat der Europarat auf Ersuchen von Arbeitnehmern und Arbeitnehmern in diesen zwischengeschalteten Zahlungssystemen eine Richtlinie erlassen, mit der die Banken verpflichtet wurden, eine API zu erstellen, die dieselben Dinge zulässt, die früher mit der Online-Bank gemacht wurden, jetzt jedoch nur mit Hilfe von Anfragen. Die Banken waren natürlich sehr verärgert, und selbst ohne diese Regulierungsbehörden haben sie genug Regeln, um zu folgen, aber es gibt nichts zu tun - sie müssen geschaffen werden.
Natürlich sind Banken auch nicht aus einem schüchternen Dutzend und sabotieren dieses Gesetz auf unterschiedliche Weise, weil sie keinen Nutzen daraus ziehen. Ja, es gibt einige Ausnahmen, wenn alles sofort so funktioniert, wie es sollte und die Dokumentation vorhanden ist. In den meisten Fällen handelt es sich jedoch nur um ein Kettensägenmassaker in Texas, nicht um eine Kettensäge und nicht in Texas, sondern um E-Mails, Anrufe und Flüche vor dem Bildschirm Ihres Monitors im Büro.
Sie sabotieren meisterhaft. Einige übersetzen ihre Dokumentation einfach nicht. Das heißt, es ist sozusagen, aber es ist sozusagen nicht, weil kein Google aus irgendeinem Grund dabei helfen wird, 90 Seiten spanischer Technik zu übersetzen. Die Spanier leben im Allgemeinen in ihrem eigenen Vakuum und erkennen nicht an, dass es eine andere internationale Sprache als Spanisch gibt. Viele weitere legen die Dokumentation in Form einer
YAML- Datei an, in der es keinen einzigen Kommentar gibt, was nicht klar ist, wohin sie gesendet werden soll, die Namen der Felder keine Standards haben und Sie nicht herausfinden können, was Sie mit welchem Zertifikat signieren oder nichts signieren sollen.
Am Anfang der Sabotage befindet sich die Dokumentationsseite, auf der nur die Endpunkte der API angegeben sind, im Prinzip jedoch kein Header oder Body mit einer Beschreibung. Es wird nicht einmal eine POST- oder GET-Anfrage angezeigt. Natürlich läuft die Rechtsabteilung solchen Leuten nach und sagt, dass Beschwerden bei der Aufsichtsbehörde möglicherweise keine Geldstrafe nach sich ziehen, aber in Zukunft zu übermäßiger Aufmerksamkeit für diese Bank führen könnten. In den meisten Fällen hilft dies, aber die Zeit vergeht.
Ich wusste von den Mistbanken, jetzt können Sie über das Gesetz selbst schreiben.
Was ist PSD2?
Dies ist eine Richtlinie der Europäischen Kommission zur Verbesserung des Online-Zahlungsmarktes und zur Erhöhung der Sicherheit dieser Zahlungen.
Tatsächlich gab es immer noch eine PSD, die jedoch lediglich die Zahlungen zwischen Staaten in der EU regulierte, ohne die Online-Zahlungen zu regulieren. Obwohl, was sind die Online-Zahlungen in 2007m dann.
Sie nahmen die erwähnte PSD als Grundlage und befestigten ein Dutzend Kapitel mit dem schönen Namen „Open Banking“ (Open Banking). Diese zehn Kapitel bereiteten den Banken Kopfschmerzen und machten den Zahlungssystemen Freude (theoretisch machten die Banken auch den Zahlern Kopfschmerzen, um nicht zu leiden.)
PSD2 regelt auch die Client-Sicherheit und gibt an, wie und auf welche Weise Anfragen übertragen werden sollen, welche Zertifikate verwendet werden sollen und was von der Bank angefordert werden kann und was nicht. Das heißt, zur Zahlung können Sie einen Vor- und Nachnamen sowie eine Liste der Benutzerkonten anfordern, aber Sie erhalten nichts anderes, selbst wenn Sie viel fragen.
Jetzt müssen Sie einen Token von der Bank anfordern, sich als Organisation registrieren, die alle Aktionen im Namen des Kunden ausführen kann und sollte, und Sie müssen einen geheimen Schlüssel usw. usw. haben. Im Allgemeinen ist die Sicherheit tatsächlich erheblich gewachsen. Nun, auch die Verantwortung beider Parteien.
Hier können Banken jedoch ihre eigenen Sicherheitsebenen hinzufügen. Bei Banken können Sie beispielsweise Kundendaten nur auf den Seiten der Bank eingeben. Das heißt, Sie müssen den Benutzer in jedem Fall auf die Seite der Bank umleiten und ihn dann an Sie zurücksenden (okay, Selenium kann ebenfalls helfen, aber jetzt können die Banken Ihnen feurige Grüße senden und den Zugriff auf ihre API verweigern, wenn etwas nicht stimmt).
Okay, jetzt zu den offensichtlichen und nicht so positiven Pluspunkten
Wie ich oben sagte, ist die Sicherheit erheblich gewachsen. Zahlungssysteme erfinden jetzt keine Fahrräder mehr und interagieren nicht mit den bunten APIs von Banken, sondern stellen eine Verbindung zu mehr oder weniger standardisierten APIs her, sodass die Sicherheit in Ordnung ist.
Wenn Sie beispielsweise ein Zahlungssystem in Estland sind, können Sie die API europäischer Banken verwenden, um Zahlungen von europäischen Kunden zu akzeptieren. Und dafür müssen Sie sich nur als Finanzinstitut registrieren, etwa hundert Dokumente lesen und all dies in Ihrem System implementieren. Die meisten Dokumentationen werden jedoch in englischer Sprache verfasst. Darüber hinaus erhalten Sie mehr oder weniger eindeutige Unterstützung von der Bank.
Wenn Sie eine Bank außerhalb der EU sind, können Sie sich diesem offenen Bankgeschäft anschließen und Ihre Kunden können mit europäischen Zahlungssystemen bezahlen.
Nun, hier können Sie auch Pluspunkte schreiben: Wenn Sie kein so großes Unternehmen sind, um die Preise für Überweisungen zu brechen und einen Teil mit Banken zu teilen, können Sie jetzt das Gleiche wie ein großes Unternehmen tun, weil Sie das Recht haben, auf Zahlungen zuzugreifen jetzt sind alle gleich.
Nun zu den Nachteilen
Es gibt eine Direktive, die API in ihrer Arbeitsversion jedoch nicht. Die Situation ist auch jetzt noch weit verbreitet, ein Jahr nachdem die Banken mit der Umsetzung begonnen haben (und nun, ja, sie hätten mit der Arbeit beginnen sollen ...).
Die APIs sind nicht vollständig vereinheitlicht, genau wie der Zahlungsvorgang. Das heißt, Sie können nicht für alle Banken etwas Universelles erstellen. Sie müssen die Funktionalität für Anforderungen für jede Bank separat anpassen, was die Entwicklung erheblich verlangsamt.
Sogar dieselbe Bank kann in verschiedenen Ländern unterschiedliche APIs haben. Weil jedes Land seine eigenen Regulierungsbehörden hat, die dem Prozess eine Art „Regulierung“ hinzufügen. Dort benötigen Sie zusätzliche Token, dort müssen Sie den Benutzer dreimal autorisieren, da gibt es noch etwas ...
Nun, jetzt hängt Ihr Geschäft mit dem Zahlungssystem vollständig von der Bank ab, deren Server plötzlich ausfallen können, und während die gesamte bürokratische Maschine läuft und sie erneut startet, kann es ein oder zwei Tage dauern, was Ihre anständigen Einnahmen beeinträchtigt. In diesem Fall können Sie der Bank nichts präsentieren.
Das ist alles