Nghiên cứu BIAN về API và các đề xuất quản lý OpenAPI cho ngân hàng nhà nước 

Thành lập năm 2008, Mạng lưới Kiến trúc ngành Ngân hàng (Banking Industry Architecture Network, viết tắt là BIAN) là một tổ chức phi lợi nhuận toàn cầu với mục đích phát triển mô hình dịch vụ (Service Landscape) và các định nghĩa dịch vụ công nghệ thông tin chuẩn cho ngành ngân hàng nhằm tạo ra một tiêu chuẩn mở thực tế cho Kiến trúc hướng dịch vụ (SOA) trong ngân hàng ngành công nghiệp. BIAN hiện có 74 thành viên...

I. Tổng quan về BIAN

1. Giới thiệu về  BIAN

  • Thành lập năm 2008, Mạng lưới Kiến trúc ngành Ngân hàng (Banking Industry Architecture Network, viết tắt là BIAN) là một tổ chức phi lợi nhuận toàn cầu với mục đích phát triển mô hình dịch vụ (Service Landscape) và các định nghĩa dịch vụ công nghệ thông tin chuẩn cho ngành ngân hàng nhằm tạo ra một tiêu chuẩn mở thực tế cho Kiến trúc hướng dịch vụ (SOA) trong ngân hàng ngành công nghiệp. BIAN hiện có 74 thành viên, trong đó có 27 ngân hàng và tổ chức tài chính lớn (như SWIFT, ABN AMBRO, Commonwealth Bank, Credit Suisse, DBS, Deutsche Bank, ING, Nomura KWF, Rabobank, Societe Generale, Postbank, UBS, UniCredit Group, Bangkok Bank…), 43 nhà cung cấp giải pháp và dịch vụ phần mềm (IBM, Microsoft, SAP, Infosys, Sunguard, Temenos…) và 4 tổ chức giáo dục (Carnegie Mellon University, Singapore Management University, …). Các mô hình tiêu chuẩn của BIAN hình thành từ việc các ngân hàng lớn chia sẻ các yêu cầu của họ về dịch vụ ngân hàng, các nhà cung cấp giải pháp chia sẻ kinh nghiệm triển khai phần mềm và thông qua những hoạt động trao đổi, thảo luận thường xuyên.
  • Do có sự hợp tác với tổ chức OpenGroup từ năm 2012, do đó có thể coi BIAN là sự ánh xạ của khung xây dựng kiến trúc tổng thể (TOGAF) trong lĩnh vực ngân hàng. Mô hình dịch vụ của BIAN giúp cụ thể hoá những vấn đề của kiến trúc doanh nghiệp trong ngành ngân hàng, đem tới một ngôn ngữ chung cho những người làm công nghệ và lãnh đạo nghiệp vụ. Việc sử dụng mô hình dịch vụ theo dạng chuỗi giá trị của BIAN cho phép tạo ra một “bản đồ nhiệt” để lãnh đạo ngân hàng nhìn rõ những vùng yếu kém hay gặp vấn đề về tuân thủ. Với cái nhìn tổng quan về ngân hàng, chúng ta có thể định hướng lại và xác định những mảng cần đầu tư thêm trong danh mục ứng dụng.

2. Mô hình dịch vụ BIAN

Mô hình dịch vụ của BIAN gồm có 3 cấp:

  • Cấp 1: Các lĩnh vực kinh doanh (BusinessArea) là cấp cao nhất, mỗi lĩnh vực kinh doanh bao gồm một tập lớn các khả năng kinh doanh, những khía cạnh của hoạt động kinh doanh có các ứng dụng hỗ trợ và nhu cầu thông tin tương đồng.
  • Cấp 2: Các phân vùng kinh doanh (Business Domain) bao gồm các khả năng kinh doanh liên quan đến các kỹ năng và kiến thức nhất định được nhìn nhận trong lĩnh vực ngân hàng.
  • Cấp 3: Các phân vùng dịch vụ (Service Domain) là cấp chi tiết nhất, dùng để phân định các tính năng duy nhất, riêng biệt.

Các lĩnh vực cơ bản của mô hình dịch vụ BIAN 

Mô hình dịch vụ BIAN  cơ bản có các lĩnh vực kinh doanh sau:

  • Dữ liệu tham chiếu: Bao gồm các phân vùng kinh doanh (và phân vùng dịch vụ con) đảm nhận việc truy cập tới thông tin nội bộ cũng như thông tin bên ngoài.
  • Bán hàng và dịch vụ: Bao gồm các phân vùng kinh doanh hỗ trợ việc giao tiếp với khách hàng của ngân hàng qua tất cả các kênh để bán hàng và phục vụ các sản phẩm dịch vụ của ngân hàng.
  • Vận hành: Là một mảng lớn bao gồm tất cả các khía cạnh của việc xử lý giao dịch, gồm cả những hoạt động liên quan đến các sản phẩm cụ thể như tiền gửi, tiền vay, thẻ, tài trợ thương mại…
  • Vận hành sản phẩm chéo (Cross Product Operations): Bao gồm các hoạt động xung quanh, liên quan đến sản phẩm như thanh toán, quản lý tài khoản, quản lý tài sản bảo đảm, các dịch vụ chung cho hoạt động vận hành.
  • Rủi ro và tuân thủ: Bao gồm các phân tích kinh doanh và phân tích khách hàng, đánh giá hiệu quả kinh doanh và các loại rủi ro (rủi ro tín dụng, thị trường, tác nghiệp và tuân thủ).
  • Hỗ trợ kinh doanh: bao gồm các hoạt động quản lý và hỗ trợ thường có trong phần lớn các doanh nghiệp như quản trị, tài chính, nhân sự, hệ thống và hạ tầng

3. Kiến trúc tổng thể  BIAN

  1. BIAN kiến trúc hướng dịch vụ trong ngân hàng

BIAN là Mạng Kiến trúc Ngành Ngân hàng, cung cấp một khuôn khổ tổng thể và tập hợp các định nghĩa dịch vụ CNTT và kịch bản kinh doanh cụ thể cho ngành ngân hàng, nhằm mục đích cải thiện khả năng tương tác của hệ thống; có những sự trưởng thành và thay đổi về mặt kiến trúc như sau:

    • Từ năm 2008 – 2013: “BIAN là  một tổ chức phi lợi nhuận trên toàn thế giới với hơn 30 thành viên ngân hàng và công nghệ, chuyên tạo ra một tiêu chuẩn mở thực tế cho Kiến trúc hướng dịch vụ (SOA) trong ngân hàng ngành công nghiệp”[1].
    • Từ năm 2013: BIAN có xu hướng ánh xạ với kiến trúc TOGAF OpenGroup với việc cùng thúc đẩy các tiêu chuẩn không phụ thuộc vào nhà cung cấp và cho phép các ngân hàng làm việc hướng tới một kiến trúc hướng dịch vụ (SOA).
  1. Hướng tới sự kết hợp với OpenAPI để  cung cấp chi tiết các đặc tả về API
  • Khởi đầu là kiến trúc SOA trong lĩnh vực ngân hàng với trọng tâm là xây dựng các dịch vụ kết nối thông qua trúc (ESB), tuy nhiên do API mở là xu thế quan trọng trong ngành ngân hàng, do đó BIAN đã có phiên bản tích hợp thử nghiệp về OpenAPI.

Cụ thể vào tháng 5/2017, dự án hợp tác giữa trường Heinz College của đại học Carnegie Mellon với PNC Bank, BIAN và IFX (International Financial eXchange) đã hoàn thành nhiệm vụ xây dựng một bản thử nghiệm về Open API trong ngân hàng, tương thích với quy định PSD2 của EC.

 Trong đó:

    • Các kiến trúc dịch vụ nội bộ tuân thủ theo BIAN (SOA ), Chỉ thị thanh toán tuân thủ theo PSD2
    • Được cung cấp và tích hợp các công ty công nghệ bởi OpenAPI
  • Hiện nay, mô hình dịch vụ của BIAN không chỉ dừng lại ở mức khái quát của kiến trúc SOA trong ngân hàng mà còn được phát triển chi tiết thành các dịch vụ nhỏ, có thể hỗ trợ việc định nghĩa API. Tại bản BIAN Service Landscape 9.0, đã bao gồm 186 các đặc tả API dịch vụ, kết hợp tiện ích mở rộng được nhắm mục tiêu cho phạm vi hoạt động của ngân hàng bán lẻ, ngân hàng doanh nghiệp và gian lận.   

Như vậy có thể thấy xu hướng của kiến trúc BIAN là sự kết hợp

    • Sử dụng kiến trúc ESB đối với tích hợp nội bộ
    • Cung cấp API mở tuân thủ theo PSD2

II. Sơ lược về dự thảo ngân hàng nhà nước về giao diện lập trình ứng dụng mở trong lĩnh vực thanh toán ngân hàng

1. Quá trình lịch sử xây dựng dự thảo

Ngân hàng Nhà nước (NHNN) cũng bước đầu xây dựng, thử nghiệm và dần hoàn thiện các khung pháp lý để quản lý hoạt động Open Banking theo tinh thần của Chỉ thị số 16/CT-TTg. Thống đốc NHNN đã thành lập Ban Chỉ đạo về lĩnh vực Fintech theo Quyết định số 328/QĐ-NHNN ngày 16/3/2017. Theo đó, nghiên cứu, xây dựng việc kết nối, chia sẻ dữ liệu thông qua giao diện chương trình ứng dụng Open API là một trong số nhiệm vụ trọng tâm của Ban Chỉ đạo.

Tháng 6/2018, Cục Công nghệ thông tin của NHNN đã tiến hành khảo sát giao diện kết nối ứng dụng Open API trong lĩnh vực tài chính ngân hàng để xác định: (1) Hiện trạng cung cấp, chia sẻ dữ liệu giữa ngân hàng với khách hàng và bên thứ ba; (2) Nhu cầu về chuẩn kết nối chung cho ngành Ngân hàng với các công ty Fintech. Kết quả khảo sát chính là cơ sở để NHNN hoạch định khung pháp lý xây dựng hệ sinh thái Open Banking tại Việt Nam. Hồi tháng 10/2018, Cục Công nghệ thông tin (NHNN) đã ký biên bản hợp tác chung với Cơ quan Xúc tiến CNTT Hàn Quốc (NIPA) và Viện Tài chính viễn thông và Thanh toán bù trừ Hàn Quốc (KFTC) về giao diện Open API trong lĩnh vực ngân hàng

2. Sơ lược Quy định  của dự thảo

Điều quan trọng nhất trong mô hình Open Banking là bên thứ ba có quyền tiếp cận dữ liệu ngân hàng, nên dự thảo ban hành một cơ chế an toàn, thống nhất để chia sẻ dữ liệu. Hiện dự thảo tập trung làm rõ các quy định pháp lý đối với công nghệ triển khai Open API trong OpenBanking như: Tính bảo mật, quyền riêng tư, mô hình, chuẩn kết nối giữa hệ thống ngân hàng, các công ty Fintech; phạm vi và lộ trình mở dữ liệu của ngân hàng; các vấn đề về an ninh trong bảo vệ hệ thống trước nguy cơ truy cập bất hợp pháp...

Cụ thể dự thảo có quy định:

  • API (Application Programming Interface) là giao diện lập trình cho phép giao tiếp giữa các ứng dụng phần mềm trong một tổ chức hoặc giữa các tổ chức với nhau. Theo đó một ứng dụng phần mềm này có thể gọi đến một hoặc nhiều chức năng của ứng dụng phần mềm khác.
  • Giao diện lập trình ứng dụng mở (Open API) là các API cho phép bên thứ ba có thể chủ động kết nối, khai thác dữ liệu nội bộ của một tổ chức.

Trong đó ngân hàng yêu cầu cần phải tuân thủ các các yêu cầu về kỹ thuật gồm:

Số TT

Loại tiêu chuẩn

Ký hiệu tiêu chuẩn

Tên đầy đủ của tiêu chuẩn

Quy định áp dụng

1

Tiêu chuẩn về kiến trúc

1.1

Trao đổi dữ liệu

REST

REpresentational State Transfer

Bắt buộc áp dụng

1.2

Định dạng trao đổi dữ liệu

JSON

Javascript Object Notation

Bắt buộc áp dụng

1.3

Công cụ mô tả API

SWAGGER

Real-time Streaming Protocol

Khuyến nghị áp dụng

OpenAPI Generator

Open Application Programming Interface Generator

Khuyến nghị áp dụng

RAML

RESTful API Modeling Language

Khuyến nghị áp dụng

API BLUEPRINT

Application Programming Interface Blueprint

Khuyến nghị áp dụng

2

Tiêu chuẩn về dữ liệu

2.1

Mô tả dữ liệu

ISO 20022

International Organization for Standardization 20022

Khuyến nghị áp dụng

ISO 8583

International Organization for Standardization 8583

Khuyến nghị áp dụng

OFX

Open Financial Exchange

Khuyến nghị áp dụng

3

Tiêu chuẩn về an toàn thông tin

3.1

Giải pháp xác thực, ủy quyền người sử dụng

OAuth v2.0

Open Authentication/Authorization version 2.0

Khuyến nghị áp dụng

OpenID Connect

Open Identity Connect

Khuyến nghị áp dụng

SAML v2.0

Security Assertion Markup Language version 2.0

Khuyến nghị áp dụng

3.2

An toàn tầng giao vận

SSH v2.0

Secure Shell version 2.0

Bắt buộc áp dụng

TLS v1.2

Transport Layer Security version 1.2

Bắt buộc áp dụng

3.3

An toàn truyền tệp tin

HTTPS

Hypertext Transfer Protocol Secure

Bắt buộc áp dụng

FTPS

File Transfer Protocol Secure

Khuyến nghị áp dụng

SFTP

SSH File Transfer Protocol

Khuyến nghị áp dụng

3.4

Giải thuật mã hóa

TCVN 7816:2007

Công nghệ thông tin. Kỹ thuật mật mã thuật toán mã dữ liệu AES

Khuyến nghị áp dụng

3DES

Triple Data Encryption Standard

Khuyến nghị áp dụng

PKCS #1 V2.2

RSA Cryptography Standard - version 2.2

Khuyến nghị áp dụng, sử dụng lược đồ RSAES-OAEP để mã hóa

ECC

Elliptic Curve Cryptography

Khuyến nghị áp dụng

3.5

Giải thuật chữ ký số

PKCS #1 V2.2

RSA Cryptography Standard - version 2.2

Bắt buộc áp dụng, sử dụng lược đồ RSASSA-PSS để ký

ECDSA

Elliptic Curve Digital Signature Algorithm

Khuyến nghị áp dụng

3.6

Giải thuật băm cho chữ ký số

SHA-2

Secure Hash Algorithms-2

Khuyến nghị áp dụng

3.7

Toàn vẹn dữ liệu

JSON Web Token

Javascript Object Notation Web Token

Khuyến nghị áp dụng

3.8

 An toàn Hệ thống thông tin

ISO270001:2013

International Organization for Standardization 270001:2013

Khuyến nghị áp dụng

PCIDSS

Payment Card Indutry Data Security Standard

Khuyến nghị áp dụng

Như vậy, hiện tại dự thảo mới quy định về mặt đường hướng, hoàn toàn không có hướng dẫn rõ OpenAPI sẽ được tuân thủ quy định theo thông lệ quốc tế, hay tự xây dựng theo chuẩn riêng của Việt Nam.

III. Đề xuất

Qua quá trình nghiên cứu, tìm hiểu về BIAN, dự thảo của Ngân hàng nhà nước về OpenAPI và mối quan hệ với chuẩn OpenBanking, tác giả nhận thấy:

  • BIAN tập trung vào kiến trúc dịch vụ SOA đối với trục tích hợp (ESB) tại nội bộ và hiện cũng đã mở rộng việc tích hợp với các đối tác bên ngoài qua các API. Tuy nhiên các API này thiên về đặc tả, và theo thí điểm của ngân hàng PNC đã sử dụng OpenApis để cung cấp các APIS cho đối tác.
  • Quy định của Ngân hàng nhà nước có đề cập đến OpenAPI nhưng chưa có hướng dẫn chi tiết về OpenAPI theo chuẩn nào trên thế giới hay tự xây.
  • OpenBanking đang là chuẩn được sử dụng tại Châu Âu có quy định về việc cung cấp API qua OpenAPIs. Điều quan trọng nhất trong mô hình Open Banking là đưa ra 01 chuẩn về API cho phép bên thứ ba có quyền tiếp cận dữ liệu ngân hàng, được quốc tế đánh giá là một cơ chế an toàn, thống nhất để chia sẻ dữ liệu.

Đỗ Tiến Thành

Nguồn tham khảo:

  1. https://bian.org/deliverables/white-paper/
  2. https://bian.org/wp-content/uploads/2020/10/BIAN-Semantic-API-Pactitioner-Guide-V8.1-FINAL.pdf
  3. https://bian.org/deliverables/bian-how-to-guide/
 

[1] Theo bài viết  của ông Hans Tesselaar, Executive Director at BIAN ngày 18/11/2013

399 Go top

Tin nổi bật

Ý kiến về Trang thông tin điện tử Cục Tin học hóa?
1. Đạt yêu cầu, 1180 phiếu (88 %)
2. Chưa đạt yêu cầu, 107 phiếu (8 %)
3. Cần thêm chủ đề, 57 phiếu (4 %)
Tổng số phiếu: 1344
THÔNG KÊ TRUY CẬP
  • Người trực tuyến Người trực tuyến
    • Khách Khách 38
    • Thành viên Thành viên 0
    • Tổng Tổng 38
    • Tổng lượt truy cập: Tổng lượt truy cập: 18316873