全球銀行業邁向數字化,數字身份將為開放式銀行帶來怎樣的革新?
不可否認,以移動支付為代表的金融科技給銀行業帶來不小衝擊,但同時也推動著銀行業改變傳統思維,向數字化迅速轉型。從全球來看,大多數傳統銀行紛紛加大研發投入,力圖通過新一代資訊科技實現產業升級。例如,越來越多的銀行機構走向開放式系統,甚至傳統的分行網點交易開始逐漸分流到線上交易、自助交易和移動端交易;櫃檯服務也更多地衍生出大堂或自助機旁邊的零距離近身服務,如今的銀行網點更像是高科技產品的零售旗艦店,利用技術的力量向客戶提供標準化服務。
最近,歐洲銀行管理局(European Banking Authority, 簡稱EBA)釋出了關於開放式銀行系統的全新指導方針,其將資料安全列為首要任務。銀行開始更廣泛地與其他授權服務商共享使用者個人資訊,一旦獲得授權,金融科技公司就可以代表使用者行事,這意味著第三方公司只要能夠滿足強客戶身份驗證和授權要求,就可以使用使用者資料。儘管開放式銀行代表著金融機構的演進方向,但資料和客戶身份仍必須是重中之重。
作為保護隱私的重要工具,數字身份日益成為保護個人、組織或一組裝置免受線上欺詐的方法。作為數字身份的最終所有者,使用者儲存在數字身份內的資料(比如個人資訊、交易細節等),經授權後可以被第三方查閱及認證。
美國的開放式銀行體系對全球金融業有著廣泛影響,它為客戶提供了一種更為簡單的方式來管理財務記錄,也為大、中、小型金融機構提供了一種安全的溝通和處理交易的方式。但這一體系也面臨著重大挑戰,比如平衡使用者體驗和強大的企業級安全性(包括強大的身份驗證機制,如多因素身份驗證)、遵守《一般資料保護條例》(GDPR)和《加州消費者隱私法》(CCPA)等安全法規,並允許使用者授權後進行資訊共享。
開放式銀行之所以越來越受收到行業關注,原因在於其建立了一個更加透明和公平的系統,允許客戶、銀行和第三方之間安全地傳輸資料。歐盟於2016年通過了PSD2(Payment Service Directive 2, 即支付服務規劃2)法令,規定自2018年1月13日起歐洲銀行必須把支付服務和相關客戶資料開放給第三方服務商,第三方開發人員通過訪問API,為金融機構構建各類應用程式和服務。該PSD2指令中包含了強有力的客戶身份認證和安全通訊方面的技術監管標準。
新的PSD2不是在現有系統上做修改,而是提供了全新系統,激勵市場參與者自己思考怎樣是最好的選擇。因此,可以說其與基於區塊鏈的支付模式有相同的目標,而且PSD2有助於區塊鏈技術發展,推動新的商業機遇。
PSD2的目標之一是為電子支付建立一個整合程度更高的內部市場,身份的自動化和數字化是資料整合中的重要因素,銀行需要開放銀行系統能夠提供具有強客戶身份驗證(SCA)的安全可信API。因此,銀行還必須構建一個完善的數字身份系統。
在構建數字身份系統時,通常會遇到類似的問題:會有一個通用的數字身份嗎?銀行應該向所有人提供數字身份,還是隻向客戶提供?在建立標識系統時將使用哪些方法?與第三方提供商共享資料的安全性如何?
由於技術原因,將具有單一現代標識和訪問管理(IAM)的保護機制與第三方整合可能顯得不安全。為了確保安全性,OpenID Connect和OAuth2.0被認為是目前安全的身份標準。許多銀行已經開始採用這些方法,它們確保端到端安全性,並在銀行、第三方和客戶之間提供強大的客戶身份驗證和授權。
經過驗證的數字身份,將會改善客戶的身份識別與核實工作,以方便客戶登入及授權查閱賬戶、風險管理及個人資料的控制。隨著客戶越來越多地使用線上交易,代表自己或機構在網上正確且可靠地證明身份的能力,對線上交易安全至關重要。無論交易是基於融資、許可證申請、健康保險索賠,還是某種形式的政府援助申請,都是如此。
通過可信身份驗證,客戶無論是訪問移動客戶端進行線上操作,還是在ATM機或者分行網點辦理業務,銀行都能夠在數字渠道和傳統渠道之間自由切換,實現從身份驗證到批准交易的秒級響應。
比如客戶需要更換自己的信用卡,在利用可信身份驗證的前提下,客戶不一定必須要去開卡的銀行網點補辦,可以去到任何的一個網點進行辦理。如果他們希望瞭解該銀行線上或移動交易的安全措施,分行的數字業務專家還可向他們介紹各種交易驗證技術,為他們提供安全的數字身份認證工具。
在為開放式銀行體系設計數字身份系統時應該考慮以下幾點。
1、組織是否有一個平臺或框架允許使用者在與任何系統進行交易之前提供同意?
2、組織的安全框架是否足夠強大?加密演算法是應用於靜止資料還是應用於動態資料?
3、組織有一個強大的身份驗證框架嗎?
4、組織的資料治理模型被定義和審查了嗎?
5、如何在保持彈性、隱私和完整性的同時建立信任?
6、組織的資料儲存會被成為資料蜜罐嗎?
7、組織是否能夠跟蹤使用者的操作和使用模式?
8、組織是否實現了三重保密?
9、使用者資料對組織內的網路運營商可見嗎?
如今,全球銀行業的數字化轉型已經拉開序幕,開放式銀行的構想塑造著新一代的金融模式。但銀行機構在追求科技進步的同時,應以保障客戶權益為前提,若能根據相關法律法規所指引的方向制定出符合自身需求的強大身份驗證機制,將為銀行業的數字化轉型帶來更多助益。