API Definition možete preuzeti ovdje

API Specification možete preuzeti ovdje

Uvod

Revidirana Direktiva o platnim uslugama (Payment Services Directive, PSD2) jest direktiva koja se temelji na podacima i tehnologiji te čiji je cilj povećati tržišno natjecanje, inovacije i transparentnost na cijelom europskom tržištu plaćanja, uz istodobno unaprjeđenje sigurnosti internetskog plaćanja i pristupa računu.

Među ostalim, [PSD2] sadrži pravila o novim uslugama koje će pružati takozvani treći pružatelji platnih usluga (Third Party Payment Service Provider, TTP) u ime korisnika platnih usluga (Payment Service User, PSU). Te nove usluge su sljedeće:

• usluga iniciranja plaćanja (Payment Initiation Service, PIS) koju će pružati TPP pružatelj usluge iniciranja plaćanja (Payment Initiation Service Provider, PISP) kako je utvrđeno člankom 66. [PSD2],
• usluga informiranja o računu (Account Information Service, AIS) koju će pružati TPP pružatelj usluga informiranja o računu (Account Information Service Provider, AISP) kako je utvrđeno člankom 67. [PSD2] i
• usluga potvrde raspoloživosti sredstava (Confirmation on the Availability of Funds Service, FCS) koju će pružati TPP pružatelj usluge izdavanja platnog instrumenta (Payment Initiation Service Provider, PISP) kako je utvrđeno člankom 65. [PSD2].

Kako bi proveo ove nove usluge (podložno suglasnosti korisnika platnih usluga (PSU), treći pružatelj platnih usluga (TPP) treba pristupiti računu PSU-a. Račun obično vodi drugi pružatelj platnih usluga (PSP), odnosno pružatelj platnih usluga koji vodi račun (Account Servicing Payment Service Provider, ASPSP). Kako bi podržao TPP-a u pristupu računima koje vodi ASPSP, svaki ASPSP mora osigurati „sučelje za pristup računu“ (XS2A sučelje).

Odgovornosti i prava TPP-a i ASPSP-a u pogledu interakcije preko XS2A sučelja su definirane i uređene [PSD2]-om. Osim toga, detaljniji zahtjevi za provedbu i rad XS2A sučelja definirani su tehničkim regulatornim standardima Europskog nadzornog tijela za bankarstvo [EBA-RTS]. 

Ključni ciljevi:

• Doprinos integriranijem i učinkovitijem europskom tržištu plaćanja
• Poboljšanje jednakih uvjeta tržišnog natjecanja za pružatelje platnih usluga (uključujući nove sudionike na tržištu)
• Povećanje sigurnosti i zaštite plaćanja
• Zaštita potrošača
• Poticanje nižih cijena za plaćanja

Osnovu za regulatorne zahtjeve čine sljedeći dokumenti:

• Platne usluge (PSD2) - Direktiva (EU) 2015/2366
• Regulatorni tehnički standardi (RTS) za pouzdanu autentifikaciju klijenta (SCA) i zajedničke i sigurne otvorene standarde komunikacije (CSC)
• Lokalni zakon kojim se direktiva prenosi u zakonodavstvo: „Zakon o platnom prometu” (ZPP), objavljen u Narodnim novinama br. 66/2018 od 20. srpnja 2018.

 

Inicijativa NextGenPSD2 Berlinske skupine

Inicijativa NextGenPSD2 posebna je radna skupina u okviru Berlinske skupine s ciljem stvaranja zajedničkog, otvorenog i usklađenog europskog standarda za sučelje namjenskih programa (Application Programming Interface, API) kojim bi se trećim pružateljima usluga (TPP-ovi) omogućio pristup bankovnim računima u skladu s revidiranom Direktivom o platnim uslugama (PSD2). U jedinstvenom partnerstvu, sudionici u inicijativi NextGenPSD2 zajedno rade na ostvarivanju zajedničke vizije da su otvoreni i usklađeni standardi PSD2 XS2A sučelja za procese, podatke i infrastrukture nužne sastavnice otvorenog, interoperabilnog tržišta. Stvarna interoperabilnost ključna je komponenta konkurentnih paneuropskih PSD2 XS2A usluga kojom će se pridonijeti daljnjem napretku prema jedinstvenom europskom tržištu te od koje će koristi imati cijela industrija platnih usluga, a posebno europski potrošači i poduzeća.

 

Dok je usklađeno XS2A sučelje nužno za omogućavanje razvoja XS2A usluga u njihovu obujmu i po relativno niskim troškovima, cjeloviti PSD2 XS2A ekosustav obuhvaća i ostala tehnička, funkcionalna, operativna i upravljačka područja s (ponekad izbornim) komplementarnim uslugama, kako je prikazano na sljedećoj slici:

Ključne karakteristike NextGenPSD2 okvira su:

• Moderni „RESTful” API set koji upotrebljava HTTP/1.1 uz TLS 1.2 (ili viši) kao protokol za prijenos podataka
• Integriranje povratnih informacija iz javnog savjetovanja u prvoj verziji nacrta
• Identifikacija TPP-a putem ETSI viii -definiranih eIDAS certifikata: QWACS je obvezan (jednostavna mjera zaštite od npr. DDOS napada), a QSEALS izboran za banke (TPP prati upute banke)
• Podržava sve PSD2-om zahtijevane slučajeve pružanja usluga iniciranja plaćanja, usluga informiranja o računu i usluga potvrde raspoloživosti sredstava, dok su buduća, višestruka/skupna i periodična plaćanja izborna (ovisno o podršci u okviru online bankarstva ili nacionalnog zakonodavstva)
• Potpuna viševalutna podrška računa
• Četiri modela arhitekture za pouzdanu autentifikaciju klijenta (SCA):  preusmjeravanje, OAuth2, odvojeno i „ugrađeno“, s utjecajem TPP-a na prednost preusmjeravanja
• Višerazinski SCA pristup za poduzeća, npr. podupiranje načela dvostruke provjere („četiri oka“)
• Podržava račune za namirenje kartičnih transakcija
• Upotrebljava „košarice“ za potpisivanje kao instrument za potpisivanje grupiranih transakcija (umjesto funkcija višestrukog plaćanja)
• Transparentna struktura resursa (omogućava TPP-ovima pregled čak i u složenim poslovnim procesima)
• Posebna suglasnost za API, čime se obrada suglasnosti odvaja od pristupa računu, pri čemu se poštuju zahtjevi PSD2-a i GDPR-a
• Izborna podrška tijekom sesije (skupa uzastopno izvršenih transakcija) podložno odgovarajućoj suglasnosti klijenta
• Podatkovne strukture, bilo kao (ovisno o zahtjevima za maloprodaju u odnosu na one za poduzeća)
  • JSON s podatkovnim modelom koji se temelji na ISO 20022 ili
  • XML s pain.001 za PISP-ove i camt.05x za AISP-ove
• Integrirani formalni i transparentan proces upravljanja promjenama i izrade verzija
• Mogućnost dodatnih proširenja koja omogućavaju izgradnju („non-core“ PSD2) usluga s dodanom vrijednošću

Za više pojedinosti vidjeti pregled NextGenPSD2-a ovdje.

Hrvatska udruga banaka se u rujnu 2017. pridružila Berlinskoj skupini. Iako je tada još bila u povojima, za inicijativu NextGenPSD2 smatralo se da može dovesti do stvaranja zajedničkog standarda API za kreditne institucije koji nedostaje. Danas se standard API Berlinske skupine smatra dominantnom inicijativom za uvođenje standarda PSD2 API koju podupiru kreditne institucije diljem cijelog EU-a.

Banke članice u Hrvatskoj koje podupiru HUB-ovu inicijativu PSD2

Addiko Bank d.d.

Agram banka d.d.

BKS bank AG

Erste&Steiermärkische Bank d.d.

Hrvatska Poštanska Banka d.d.

Istraska Kreditna Banka Umag d.d.

Karlovačka banka d.d.

OTP Banka d.d.

Partner banka d.d.

Podravska banka d.d.

Privredna banka Zagreb d.d.

Raiffeissenbank Austria d.d.

Sberbank d.d.

Zagrebačka banka d.d.

Dokumentacija API

 

Kao članici Berlinske skupine, osnovna dokumentacija koja se odnosi na PSD2 API u Hrvatskoj jest dokumentacija NextGenPSD2. Dokumentacija CBA PSD2 proizlazi iz dokumentacije NextGenPSD2 API.

 

Struktura

Dokumentacija PSD2 API za hrvatsko tržište može se podijeliti na tri hijerarhijske razine:

1. Dokumentacija NextGenPSD2 API
2. Dokumentacija CBA PSD2 API
3. Dokumentacija ASPSP-a

Ovisnosti između svake skupine dokumentacije opisane su na sljedećoj slici:

Dokumentacija NextGenPSD2 API

Sami NextGenPSD2 okvir izgrađen je od 5 elementa koji su svi besplatno objavljeni u okviru licenci Creative Commons (CC-BY-ND):

1. Uvodni dokument
2. Dokument s operativnim pravilima kojim se obuhvaćaju opis usluge, apstraktni (logički) podatkovni model i detaljan opis tijeka procesa u B2B sučelju
3. Provedbene smjernice u kojima se navode tehnički detalji sučelja XS2A, uključujući sheme XML/JSON
4. Formati krajnjih točaka za specifične platne proizvode na domaćoj razini, koji se koriste kod iniciranja plaćanja
5. Datoteka OpenAPI koja provoditeljima pomaže u razvoju

Banke i TPP-ovi upotrebljavaju te dokumente za provedbu pristupa bankovnim računima koji se zahtijeva PDS2-om.

 

Najnovije izdanje NextGenPSD2 okvira možete preuzeti ovdje.

 

Dokumentacija CBA PSD2 API

Najnovija verzija dokumentacije CBA PSD2 API je 1.1 i možete ju pronaći ovdje. Verzija 1.1 sadrži reference na Provedbene smjernice za NextGenPSD2 1.3.8.

Arhivirane verzije nalaze se ovdje.

 

Dokumentacija ASPSP-a

ASPSP	PSD2 API URL
Addiko Bank d.d.	https://oapideveloper.addiko.hr
Agram banka d.d.	http://www.agrambanka.hr/agram-psd2
BKS Bank AG	http://www.bks.hr/psd2
Erste&Steiermärkische Bank d.d.	https://developers.erstegroup.com/
Hrvatska Poštanska Banka d.d.	https://openbanking.hpb.hr
Istarska Kreditna Banka Umag d.d.	http://www.ikb.hr/psd2/
Karlovačka banka d.d.	https://www.kaba.hr/psd2/docs/
OTP Banka d.d.	https://api.otpbanka.hr/
Partner banka d.d.	https://e.paba.hr/tpp/
Podravska banka d.d.	https://www.poba.hr/gradani/psd2/
Privredna banka Zagreb d.d.	https://apiportal.pbz.hr
Raiffeissenbank Austria d.d.	https://sandbox.rba.hr/
Sberbank d.d.	https://www.sberbank.hr/psd2/
Slatinska banka d.d.	https://www.slatinska-banka.hr/psd2
Zagrebačka banka d.d.	https://developer.unicredit.eu/

 

Životni ciklus dokumentacije

Prema Regulatornom tehničkom standardu (RTS): „...pružatelji platnih usluga koji vode račune osiguravaju, osim u izvanrednim situacijama, dostupnost svih izmjena tehničkih specifikacija svojih sučelja ovlaštenim pružateljima usluga iniciranja plaćanja, pružateljima usluga pružanja informacija o računu i pružateljima platnih usluga koji izdaju kartične platne instrumente ili pružateljima platnih usluga koji su svojim nadležnim tijelima podnijeli zahtjev za izdavanje relevantnog odobrenja, što je ranije moguće unaprijed, a najkasnije tri mjeseca prije implementacije izmjene.“

Kako bi imali pristup ažurnoj najnovijoj dokumentaciji, TPP-ove potičemo da se pretplate na sve izmjene dokumentacije koje mogu utjecati na API. Sve izmjene API-jeva objavit će se u skladu s pravilima RTS-a.