不可否认,以移动支付为代表的金融科技给银行业带来不小冲击,但同时也推动着银行业改变传统思维,向数字化迅速转型。从全球来看,大多数传统银行纷纷加大研发投入,力图通过新一代信息技术实现产业升级。例如,越来越多的银行机构走向开放式系统,甚至传统的分行网点交易开始逐渐分流到在线交易、自助交易和移动端交易;柜台服务也更多地衍生出大堂或自助机旁边的零距离近身服务,如今的银行网点更像是高科技产品的零售旗舰店,利用技术的力量向客户提供标准化服务。
最近,欧洲银行管理局(European Banking Authority, 简称EBA)发布了关于开放式银行系统的全新指导方针,其将数据安全列为首要任务。银行开始更广泛地与其他授权服务商共享用户个人信息,一旦获得授权,金融科技公司就可以代表用户行事,这意味着第三方公司只要能够满足强客户身份验证和授权要求,就可以使用用户数据。尽管开放式银行代表着金融机构的演进方向,但数据和客户身份仍必须是重中之重。
作为保护隐私的重要工具,数字身份日益成为保护个人、组织或一组设备免受在线欺诈的方法。作为数字身份的最终所有者,用户储存在数字身份内的资料(比如个人信息、交易细节等),经授权后可以被第三方查阅及认证。
美国的开放式银行体系对全球金融业有着广泛影响,它为客户提供了一种更为简单的方式来管理财务记录,也为大、中、小型金融机构提供了一种安全的沟通和处理交易的方式。但这一体系也面临着重大挑战,比如平衡用户体验和强大的企业级安全性(包括强大的身份验证机制,如多因素身份验证)、遵守《一般数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)等安全法规,并允许用户授权后进行信息共享。
开放式银行之所以越来越受收到行业关注,原因在于其创建了一个更加透明和公平的系统,允许客户、银行和第三方之间安全地传输数据。欧盟于2016年通过了PSD2(Payment Service Directive 2, 即支付服务规划2)法令,规定自2018年1月13日起欧洲银行必须把支付服务和相关客户数据开放给第三方服务商,第三方开发人员通过访问API,为金融机构构建各类应用程序和服务。该PSD2指令中包含了强有力的客户身份认证和安全通信方面的技术监管标准。
新的PSD2不是在现有系统上做修改,而是提供了全新系统,激励市场参与者自己思考怎样是最好的选择。因此,可以说其与基于区块链的支付模式有相同的目标,而且PSD2有助于区块链技术发展,推动新的商业机遇。
PSD2的目标之一是为电子支付创建一个整合程度更高的内部市场,身份的自动化和数字化是数据集成中的重要因素,银行需要开放银行系统能够提供具有强客户身份验证(SCA)的安全可信API。因此,银行还必须构建一个完善的数字身份系统。
在构建数字身份系统时,通常会遇到类似的问题:会有一个通用的数字身份吗?银行应该向所有人提供数字身份,还是只向客户提供?在创建标识系统时将使用哪些方法?与第三方提供商共享数据的安全性如何?
由于技术原因,将具有单一现代标识和访问管理(IAM)的保护机制与第三方集成可能显得不安全。为了确保安全性,OpenID Connect和OAuth2.0被认为是目前安全的身份标准。许多银行已经开始采用这些方法,它们确保端到端安全性,并在银行、第三方和客户之间提供强大的客户身份验证和授权。
经过验证的数字身份,将会改善客户的身份识别与核实工作,以方便客户登入及授权查阅账户、风险管理及个人资料的控制。随着客户越来越多地使用在线交易,代表自己或机构在网上正确且可靠地证明身份的能力,对在线交易安全至关重要。无论交易是基于融资、许可证申请、健康保险索赔,还是某种形式的政府援助申请,都是如此。
通过可信身份验证,客户无论是访问移动客户端进行在线操作,还是在ATM机或者分行网点办理业务,银行都能够在数字渠道和传统渠道之间自由切换,实现从身份验证到批准交易的秒级响应。
比如客户需要更换自己的信用卡,在利用可信身份验证的前提下,客户不一定必须要去开卡的银行网点补办,可以去到任何的一个网点进行办理。如果他们希望了解该银行在线或移动交易的安全措施,分行的数字业务专家还可向他们介绍各种交易验证技术,为他们提供安全的数字身份认证工具。
在为开放式银行体系设计数字身份系统时应该考虑以下几点。
1、组织是否有一个平台或框架允许用户在与任何系统进行交易之前提供同意?
2、组织的安全框架是否足够强大?加密算法是应用于静止数据还是应用于动态数据?
3、组织有一个强大的身份验证框架吗?
4、组织的数据治理模型被定义和审查了吗?
5、如何在保持弹性、隐私和完整性的同时建立信任?
6、组织的数据存储会被成为数据蜜罐吗?
7、组织是否能够跟踪用户的操作和使用模式?
8、组织是否实现了三重保密?
9、用户数据对组织内的网络运营商可见吗?
如今,全球银行业的数字化转型已经拉开序幕,开放式银行的构想塑造着新一代的金融模式。但银行机构在追求科技进步的同时,应以保障客户权益为前提,若能根据相关法律法规所指引的方向制定出符合自身需求的强大身份验证机制,将为银行业的数字化转型带来更多助益。