登录

开放银行 API 数据保护方案:第三方访问与数据脱敏策略

/ 博客 / By

开放银行 API 数据保护

本文是我们 金融数据脱敏 综合系列的一部分。有关开放银行安全和 API 数据保护的完整指南,请访问我们的 Pillar 页面。

作者:BestCoffer 合规技术专家

什么是开放银行 API 数据保护?

开放银行 API 数据保护是指通过应用程序编程接口(API)在银行和第三方提供商之间共享客户金融数据时保护这些数据的综合实践和技术。开放银行法规要求银行向持牌第三方提供商提供安全的 API 访问,实现创新金融服务,同时维护严格的数据保护和客户隐私标准。了解开放银行 API 安全对于实施开放银行计划的金融机构和通过这些受监管渠道访问客户金融数据的第三方提供商至关重要。

开放银行生态系统涉及多个具有不同角色和责任的利益相关者。账户服务支付服务提供商(ASPSP)维护客户账户并向授权第三方提供 API 访问。第三方提供商(TPP)在客户明确同意下访问客户数据,提供支付发起和账户信息服务。API 提供商管理 API 基础设施,包括网关、安全层和监控系统。监管机构监督开放银行合规,包括许可、技术标准和执法。每个利益相关者都有特定的数据保护责任,需要适当的安全控制和数据脱敏技术,确保客户数据在整个开放银行生态系统中保持保护。

开放银行监管框架

PSD2 要求

修订支付服务指令(PSD2)为欧洲金融机构建立了全面的开放银行要求,具有具体的技术和安全授权。强客户身份验证(SCA)需要使用知识(用户知道的东西)、占有(用户拥有的东西)和固有(用户是的东西)类别中两个或更多元素的多因素身份验证,用于客户访问和第三方访问账户。安全通信要求银行和第三方提供商之间使用相互 TLS 证书和 OAuth 2.0 授权框架加密 API 通信,确保任何一方在数据交换之前相互身份验证。

客户同意管理要求客户明确授权与特定第三方的数据共享,包括明确定义的具体目的、指定自动过期的持续时间,以及限制为仅服务所需信息的数据范围。数据最小化原则将数据共享限制为仅特定服务所需的信息,防止过度数据暴露。通信通用安全开放标准(CTS)授权 API 安全的技术标准,包括用于第三方提供商识别的 eIDAS 证书和用于电子印章的合格证书。

英国开放银行标准

英国开放银行实施实体(OBIE)为英国开放银行实施建立详细的技术标准,超越 PSD2 最低要求。API 标准定义全面的 RESTful API 规范,用于账户信息服务,包括账户详情、余额、交易和直接扣款,支持各种支付类型的支付发起服务,以及卡支付的资金确认服务。安全配置文件指定用于身份验证和授权的 OAuth 2.0 和 OpenID Connect 要求,包括针对不同 TPP 类型的特定授权流程和证书验证要求。

数据标准定义通用数据格式,以实现整个生态系统的一致数据交换,包括用于支付消息的 ISO 20022 和用于账户数据的英国特定扩展。客户体验指南确保不同 ASPSP 之间一致的客户旅程,包括身份验证流程、同意屏幕和错误处理。性能标准规定 API 可用性在工作时间为 99.5%,95% 的请求响应时间低于 3 秒。

API 安全架构

身份验证和授权

开放银行 API 需要强大的多层身份验证和授权机制,以在启用第三方访问的同时保护客户数据。OAuth 2.0 提供授权框架,通过特定授权流程使第三方能够在客户同意下访问,包括用于 TPP 发起流程的授权码授权和用于 TPP 发起请求的客户端凭证授权。OpenID Connect 扩展 OAuth 2.0 用于第三方提供商的身份验证,使用 ID 令牌和用户信息端点验证 TPP 身份和凭证。

相互 TLS 确保 API 客户端和服务器在建立连接之前相互身份验证,使用 X.509 证书,具有证书颁发、验证和撤销的特定要求。API 密钥提供额外的身份验证层,用于识别和跟踪 API 消费者,实现速率限制、使用监控和访问控制。基于证书的身份验证使用欧洲的 eIDAS 证书或英国的 OBIE 认证证书,提供监管支持的第三方提供商识别。

API 响应的数据脱敏

数据脱敏根据第三方访问权限和同意范围保护 API 响应中的敏感信息,确保客户只共享必要的信息。字段级脱敏对第三方访问隐藏特定字段,如完整账号、社会保障号码或完整地址,仅显示必要部分。部分脱敏仅显示必要部分,如账号的最后四位数字用于识别目的,同时隐藏可能启用欺诈的完整号码。

动态脱敏根据第三方提供商类型应用不同的脱敏规则,支付发起提供商看到的数据与账户信息提供商不同,同意范围确保只共享同意的数据元素。一致脱敏确保所有 API 端点相同的数据元素被一致脱敏,防止通过不同端点的数据泄露。实时脱敏在生成 API 响应时应用脱敏规则,不影响性能或不需要后处理。

第三方访问控制

同意管理

客户同意管理是开放银行数据保护的基础,作为所有第三方数据访问的法律和技术基础。明确同意要求客户通过清晰的同意屏幕明确授权与特定第三方的数据共享,显示 TPP 身份、数据范围、访问目的和持续时间。限时同意在指定持续时间(通常账户信息服务为 90 天)后自动过期,需要客户重新授权以继续访问,防止无限期第三方访问。

范围限定同意将数据访问限制为仅特定服务所需的信息,防止 TPP 访问超过需要的数据的范围蔓延。可撤销同意使客户能够随时通过 ASPSP 接口或 TPP 接口撤回同意,立即终止第三方访问,撤销通知发送给所有各方。同意收据为客户提供所有授予同意的记录,包括 TPP 身份、数据范围、授予时间和过期时间,以实现透明度和争议解决。

第三方提供商验证

第三方提供商验证确保只有授权和合法实体访问客户数据,防止欺诈和未经授权的访问。监管注册验证第三方提供商是否在适当的监管机构注册,包括英国的 FCA、德国的 BaFin 或法国的 ACPR,注册号针对监管数据库验证。证书验证验证欧洲第三方提供商的 eIDAS 证书或英国提供商的 OBIE 认证证书,确保证书是当前、未撤销的,并由合格信任服务提供商颁发。

持续监控持续监控第三方安全状况和合规状态,包括定期安全评估、合规审计和事件报告。动态风险评分根据安全状况、合规历史和业务模型为 TPP 分配风险评分,高风险 TPP 接受增强监控和限制。撤销程序使能够立即撤销失去监管授权、经历安全泄露或违反开放银行规则的 TPP 的访问。

数据保护技术

API 响应脱敏

API 响应脱敏在实时 API 响应中保护敏感数据,确保第三方只接收授权的数据元素。实时脱敏在生成 API 响应时应用脱敏规则,不影响性能或不需要后处理,使用高效的脱敏算法。上下文感知脱敏根据 API 端点应用不同的脱敏,账户信息端点显示的数据与支付端点不同,第三方权限确保每个 TPP 只看到他们有权访问的数据。

一致脱敏确保所有 API 端点相同的数据元素被一致脱敏,防止相同数据可能通过不同端点暴露的数据泄露。脱敏模板为不同数据类型定义脱敏规则,包括账号、个人标识符和金额,实现集中脱敏管理。审计日志记录所有脱敏操作以进行合规演示和法医分析,显示什么数据被脱敏以及为什么。

API 访问的令牌化

令牌化用非敏感令牌替换敏感账户标识符,用于 API 访问,减少令牌被泄露的风险。账户令牌用第三方可用于交易的令牌替换实际账号,防止暴露实际账号,防止账户接管。令牌格式保持参照完整性,使 TPP 能够在多个 API 调用中识别相同账户,同时防止识别实际账号。

会话令牌提供在定义持续时间(通常几分钟到几小时)后过期的临时访问令牌,限制令牌被泄露的暴露窗口。令牌绑定将令牌绑定到特定 TPP 证书,防止令牌被盗和未经授权的各方重用。刷新令牌启用令牌续订,无需客户重新身份验证,改善用户体验,同时通过短期访问令牌保持安全。

实施考虑

性能要求

开放银行 API 必须在保持安全的同时满足严格的性能要求,确保安全控制不会降低客户体验。响应时间要求规定 API 响应在指定的时间范围内,通常 95% 的请求低于 3 秒,在第 95 百分位数测量以考虑异常值。吞吐量要求在高峰期间支持高容量 API 调用,性能不下降,需要可扩展的基础设施和高效的安全处理。

可用性要求保持高 API 可用性,关键银行服务在工作时间通常为 99.5% 或更高,需要冗余基础设施和灾难恢复能力。安全开销必须最小化,高效的证书验证、令牌处理和脱敏操作添加最小延迟。缓存策略缓存安全工件如证书和令牌,减少验证开销,同时通过适当的缓存持续时间保持安全。

监控和审计

全面的监控和审计能力对开放银行合规至关重要,实现安全事件检测和合规演示。API 日志记录记录所有 API 请求和响应,包括时间戳显示访问何时发生,涉及的各方识别 ASPSP 和 TPP,访问的端点显示调用了哪些 API,以及同意参考将访问与客户同意链接。访问追踪追踪第三方提供商对客户数据的所有访问,包括同意参考,使客户能够看到谁访问了他们的数据以及何时。

异常检测检测可能表明安全威胁或滥用的异常 API 访问模式,包括异常访问时间、过度 API 调用或访问异常数据元素。警报为安全事件生成实时警报,实现快速响应潜在泄露。审计追踪维护全面的审计追踪以进行监管检查,显示所有安全控制、访问决策和事件响应以进行合规演示。

常见挑战

平衡安全与创新

开放银行必须平衡安全要求与创新赋能,确保安全不会抑制有益的创新。过度限制性的安全可能通过限制第三方服务能力而抑制创新,防止可能造福客户的新服务。不足的安全使客户数据暴露于泄露和监管处罚,破坏客户对开放银行的信任。最佳实践实施基于风险的安全,根据数据敏感性扩展保护,高度敏感的数据 receiving 更强的保护,访问上下文具有更高风险的访问 receiving 增强的安全。

管理第三方风险

第三方风险管理对开放银行安全至关重要,因为即使 TPP 访问客户数据,ASPSP 仍然对客户数据负责。尽职调查需要在授予访问权限之前对第三方提供商进行彻底的安全评估,包括安全问卷、技术评估和合规验证。持续监控持续监控第三方安全状况和合规状态,通过定期评估和自动监控。事件响应建立明确的程序,用于响应影响客户数据的第三方安全事件,包括通知要求、访问撤销和客户沟通。

最佳实践

组织应该实施全面的 API 安全,包括使用 OAuth 2.0 与不同用例的适当授权流程和传输安全的相互 TLS 的强身份验证。授权应基于客户同意,包括明确同意捕获和每次 API 调用的同意验证,以及第三方权限与基于证书的 TPP 识别。加密应保护传输中的所有 API 通信,使用 TLS 1.3 与强密码套件,以及任何缓存或记录数据的静态加密。

数据保护应包括基于数据分类和同意范围的敏感数据元素的字段级脱敏、防止账号暴露的账户标识符令牌化,以及所有 API 端点的一致脱敏防止数据泄露。监控和合规应包括所有访问的全面 API 日志记录和审计追踪、用于异常访问模式的实时异常检测与自动警报,以及定期第三方安全评估,包括年度重新评估和重大变化的事件驱动评估。

结论

开放银行 API 数据保护对于在不断发展的金融服务格局中实现创新金融服务同时维护客户信任和监管合规至关重要。通过实施全面的 API 安全,包括强身份验证、基于客户同意的授权和所有通信的加密,金融机构可以安全地向授权第三方开放客户数据。通过字段级脱敏、令牌化和所有端点的一致脱敏的数据保护确保客户只共享必要的信息。通过尽职调查、持续监控和事件响应程序的第三方风险管理保护整个生态系统中的客户数据。随着开放银行在全球范围内扩展,包括欧洲的 PSD3、亚太地区的开放银行倡议和美国州级开放银行提案,强大的 API 数据保护将继续是安全开放银行生态系统的基础。BestCoffer 致力于通过创新的数据保护技术帮助金融机构实施有效的开放银行 API 安全,包括 AI 驱动的脱敏、全面的同意管理,以及导航复杂监管要求的专家指导。

相关文章

探索金融数据脱敏系列的其他文章:

金融数据脱敏完整指南:PCI DSS 与全球合规(Pillar Page): 金融数据脱敏综合框架 ✓ 已发布

PCI DSS 合规数据脱敏要求详解: 支付卡行业数据安全标准 ✓ 已发布

SOX 财务数据保护合规指南: 萨班斯 – 奥克斯利数据内部控制要求 ✓ 已发布

银行客户数据脱敏最佳实践: KYC 与账户信息安全保护 ✓ 已发布

支付数据脱敏:POS 与在线交易: 交易数据安全解决方案 ✓ 已发布

反洗钱 (AML) 数据共享合规指南: 金融机构协作与隐私保护 ✓ 已发布

保险行业数据脱敏: 保单与理赔信息安全保护 ✓ 已发布

金融数据脱敏 vs 加密:选型指南: 全面对比与用例 ✓ 已发布

开放银行 API 数据保护方案: 第三方访问与数据脱敏策略 ✓ 已发布