OpenAPI trong lĩnh vực tài chính ngân hàng
Xu hướng công nghệ OpenAPI
Trước đây các tổ chức doanh nghiệp đặc biệt là khối tài chính ngân hàng thường có xu hướng đóng (không chia sẻ dữ liệu) với lý do an toàn, bảo mật thông tin khách hàng, bảo đảm hệ thống không bị hacker “tấn công”. Tuy nhiên, khi các công ty công nghệ tài chính (fintech) xuất hiện trong những năm gần đây đã tạo ra sân chơi mới, các mô hình kinh doanh mới cùng với những người chơi mới, phá vỡ vị thế “đóng” của các định chế tài chính truyền thống.
Theo xu thế tất yếu này, các tổ chức tài chính ngân hàng cũng nhận thức được rằng những các công ty fintech, các nhà cung cấp dịch vụ thanh toán và quản lý tài chính sẽ là đối tác cùng khai thác tiềm năng của thị trường ngày càng mở rộng. Thay vì khép kín, không chia sẻ tệp khách hàng của mình, cũng không liên kết với ai để bảo vệ data khách hàng như trước đây, hiện nay các ngân hàng đang cố gắng thay đổi, cởi mở tới mức tối đa. Ngân hàng mở – Open Banking đang trở thành xu hướng ngày càng phổ biến tại Việt Nam.
Trên phạm vi toàn cầu, nhiều quốc gia hiện đã có chiến lược và chính sách cụ thể để xây dựng hệ thống khung pháp lý làm cơ sở cho việc ứng dụng Open Banking nhằm khai thác tiềm năng bởi đây là xu hướng tất yếu của hoạt động kinh doanh ngân hàng hiện đại.
Trên thế giới, ít nhất 87% quốc gia đã triển khai các hình thức khác nhau của ngân hàng mở thông qua giao diện lập trình ứng dụng mở (Open Banking API). Chỉ riêng ở châu Âu, có ít nhất 410 nhà cung cấp dịch vụ trực tuyến được phép truy cập dữ liệu của ngân hàng mở.
Tại châu Á, tính đến hết năm 2020 đã có 77 nền tảng ngân hàng mở, gần 1500 sản phẩm dịch vụ có liên quan với tốc độ tăng trưởng bình quân hàng năm là 228%. Các dịch vụ ngân hàng mở đã phát triển rất mạnh ở Hàn Quốc, Hong Kong, Singapore, Nhật Bản… Trong đó, tại Hàn Quốc, Công ty tài chính viễn thông và thanh toán bù trừ Hàn Quốc (KFTC) đã triển khai hạ tầng Open Banking Hub từ năm 2020 và đến nay số lượng giao dịch đạt tới hơn 1 tỷ giao dịch/tháng.
Tại Trung Quốc, một ví dụ cho việc ngân hàng mở được thúc đẩy là sự tích hợp giữa ngân hàng số WeBank và Wechat – một ứng dụng nhắn tin, truyền thông xã hội và thanh toán di động đa năng nổi tiếng của Trung Quốc. Nhờ sự tích hợp này, khách hàng có thể sắp xếp cuộc hẹn, chuyển tiền và gọi taxi với Wechat thay vì sử dụng nhiều ứng dụng khác nhau.
Tại Việt Nam, sau khi Ngân hàng Nhà nước Việt Nam (NHNN) cũng đã thể hiện sự quan tâm và hỗ trợ cho việc phát triển OpenAPI trong ngành ngân hàng bằng việc phối hợp với Ngân hàng Phát triển châu Á (ADB) tổ chức buổi tọa đàm “Ứng dụng Open API trong ngành Ngân hàng – Thực trạng và đề xuất” tại Hà Nội vào ngày 29/3/2021 thì đã có một số ngân hàng hàng đầu ở Việt Nam cũng đã hoàn thành nghiên cứu và triển khai OpenAPI, TPBank, BIDV, HDBank,…
OpenAPI là gì
OpenAPI là một công nghệ cho phép các ứng dụng, phần mềm, nền tảng số của khách hàng kết nối và trao đổi dữ liệu với các dịch vụ ngân hàng một cách hiệu quả và an toàn. OpenAPI được xem là một xu thế phát triển của ngân hàng mở (Open Banking), giúp mở rộng hệ sinh thái số và cải thiện trải nghiệm khách hàng trên không gian số.
Có khả năng cung cấp định nghĩa về API cho đối tác, công ty bạn hợp tác hoặc tổ chức mà bạn cung cấp API – là rất quan trọng để kinh doanh. Sự thành công của nền kinh tế API được xác định dựa trên việc thực hiện điều này nhiều lần, ngắn gọn và xác định, sử dụng tiếng địa phương có liên quan đến người tiêu dùng API.
Ngôn ngữ đặc tả API cung cấp một phương tiện được tiêu chuẩn hóa để thực hiện việc này. API có thể được mô tả bằng các thuật ngữ, tách chúng khỏi bất kỳ ngôn ngữ lập trình cụ thể nào. Người tiêu dùng đặc tả API của bạn không cần phải hiểu nội dung của ứng dụng của bạn hoặc cố gắng học Lisp hoặc Haskell nếu đó là những gì bạn đã chọn để viết nó. Họ có thể hiểu chính xác những gì họ cần từ đặc tả API của bạn, được viết bằng ngôn ngữ đơn giản và biểu cảm.
Đặc tả OpenAPI (OAS) cho phép chuyển chính xác kiến thức này từ nhà cung cấp API sang người sử dụng API. Đây là một tiêu chuẩn mở để mô tả các API của bạn, cho phép bạn cung cấp đặc tả API được mã hóa trong tài liệu JSON hoặc YAML. Nó cung cấp một từ điển toàn diện về các thuật ngữ phản ánh các khái niệm thường được hiểu trong thế giới API, nhúng các nguyên tắc cơ bản của HTTP và JSON. Khi sử dụng với các công cụ hỗ trợ, nó có thể cung cấp trải nghiệm phong phú dựa trên một tài liệu đơn giản.
Thực tế, không phải khi bạn hay doanh nghiệp của bạn cung cấp ra internet một hay nhiều APIs ra ngoài thì đã được coi là bạn đã triển khai được OpenAPI. Để làm được việc này, bạn cần phải đáp ứng tiêu chuẩn nghiêm ngặt về OpenAPI đưa ra. Hiện nay tiêu chuẩn mới nhất cho OpenAPI là OpenAPI 3.1.0 được xuất bản 15/2/2021 (https://spec.openapis.org/oas/v3.1.0)
Một số Công ty công nghệ lớn nắm bắt được xu thế này cũng đưa ra các giải pháp và nền tảng để phục vụ đáp ứng cho nhu cầu OpenAPI cho các khách hàng là Ngân hàng, tổ chức tài chính lớn và doanh nghiệp như IBM, Google, Microsoft,..
Kiến trúc OpenAPI
Theo kiến trúc một hệ thống OpenAPI sẽ bao gồm 3 thành phần chính sau: API Gateway, Developer Portal và API Management
- API Gateway: Là cổng giao tiếp cho phép tích hợp giữa hệ thống của doanh nghiệp với các hệ thống bên ngoài.
- Định tuyến API: định tuyến các yêu cầu dựa trên nội dung, tiêu đề, danh tính của thông điệp và các yếu tố khác. Định tuyến API cũng phải hỗ trợ ưu tiên đối với các yêu cầu, dựa trên SLA được thỏa thuận với bên yêu cầu (API callers).
- Chuyển đổi & xác thực dữ liệu: yêu cầu phải được xác thực dựa theo cấu trúc và hỗ trợ chuyển đổi dữ liệu
- Công cụ đi kèm với một số trình kết nối tiêu chuẩn, cho phép API kết nối trực tiếp với các máy chủ email, cơ sở dữ liệu, hệ thống quản lý tài liệu…
- API Management: Giúp cho người quản trị có thể quản lý vòng đời của các APIs, ghi nhận log giao dịch từ API Gateway và thống kê về các giao dịch đi qua hệ thống cũng như quản lý cấu hình phát triển, quản trị cho toàn bộ hệ thống OpenAPI
- Developer Portal: Là cổng thông tin cho lập trình viên có thể tự đăng ký và thử nghiệm các APIs. Với cổng lập trình viên được public ra internet, các nhà phát triển có thể tự đăng ký và sử dụng dịch vụ API một cách dễ dàng của doanh nghiệp. Qua đó, có thể tự do sử dụng các API này và sáng tạo ra các ứng dụng mới cho các bài toán mới.
Bên cạnh các thành phần triển khai như trên, để cung cấp API ra bên ngoài hệ thống OpenAPI cũng cần đáp ứng thêm các tiêu chuẩn khác:
- Tiêu chuẩn/Chỉ dẫn về OpenAPI (The OpenAPI Specification) xác định mô tả giao diện ngôn ngữ lập trình tiêu chuẩn cho các API HTTP, cho phép cả con người và máy tính khám phá và hiểu các khả năng của dịch vụ mà không yêu cầu quyền truy cập vào mã nguồn, tài liệu bổ sung hoặc kiểm tra lưu lượng mạng. Khi được xác định đúng thông qua OpenAPI, người tiêu dùng có thể hiểu và tương tác với dịch vụ từ xa với số lượng logic triển khai tối thiểu. Tương tự như những gì mô tả giao diện đã làm cho lập trình cấp thấp hơn, Đặc tả OpenAPI loại bỏ phỏng đoán trong việc gọi một dịch vụ. Định dạng bản tin, Phiên bản dịch vụ, Cấu trúc tài liệu, Kiểu dữ liệu
- Tiêu chuẩn về bảo mật: SL/TLS communications, Digital Signature for XML/JSON payloads, Message Encryption/Decryption for XML/JSON payloads, JSON Web Token (JWT) is a compact, URL-safe way of representing claims , JSON Web Signature (JWS) , JSON Web Encryption (JWE), OAuth 2.0, OpenID Connect
- Linh hoạt để thích ứng: API phải linh hoạt để tùy chỉnh. Các lỗi trong API cần được khắc phục nhanh chóng, vì những lỗi như vậy không chỉ ảnh hưởng nội bộ mà còn tác động không nhỏ đối với các công ty đối tác bên ngoài khi sử dụng API đó.
- Dễ dàng triển khai: Ngoài sự linh hoạt, API cũng phải đảm bảo triển khai dễ dàng cho các nhà phát triển. Việc triển khai này sẽ được thực hiện mà không có sự gián đoạn về mặt thời gian và khả năng vận hành đồng thời hỗ trợ nhiều phiên bản của cùng một API.
- Tính khả dụng cao: do việc sử dụng các API rất linh hoạt nên tình trạng không khả dụng trở nên khó quản lý. Do đó, các API phải đảm bảo sẵn sàng tối đa, 24/7, trong trường hợp xảy ra sự cố không lường trước được.
- Khả năng mở rộng: vì API sẽ được sử dụng bởi nhiều bên thứ ba khác, do đó dung lượng sử dụng có thể tăng lên rất nhanh. Các API nên hỗ trợ tự động điều chỉnh (không down-time) các tài nguyên có sẵn dựa trên khả năng tải
Khó khăn & thách thức
Open API là một lĩnh vực mới cả về yếu tố kỹ thuật và pháp lý không chỉ ở Việt Nam mà cả trên thế giới. Các thách thức, khó khăn khi triển khai Open API không chỉ là vấn đề công nghệ mà còn là thay đổi nhận thức và thay đổi khung pháp lý. Việc triển khai thành công khung pháp lý cho Open API sẽ tạo điều kiện cho cộng đồng Fintech cung cấp các dịch vụ sáng tạo mới, đáp ứng nhu cầu ngày càng cao của khách hàng theo kịp với sự phát triển trên toàn thế giới về cung cấp dịch vụ ngân hàng.
Bên cạnh, các yếu tố về hành lang pháp lý thì việc đầu tư cho hạ tầng công nghệ, nhân sự của một tổ chức triển khai OpenAPI cũng không hề nhỏ.
Lời kết
Thương mại điện tử, mobile money, thanh toán QR,…đứng gần 1 người khổng lồ về thương mại điện tử như Trung Quốc, chưa bao giờ nhu cầu tích hợp, chia sẻ, mở rộng nhanh API của các tổ chức lại bức thiết như hiện nay. Những tổ chức nào tự tách mình ra khỏi quy luật này sẽ có kết cục được dự báo trước. Do vậy, điều này cũng đem tới một động lực về chuyển đổi số cho doanh nghiệp sẽ trở nên mạnh mẽ hơn trong tương lai. Dựa trên OpenAPI thì một ngày nào đó chúng ta có quyền hi vọng tới những hướng mở tiếp theo trong ngành tài chính, ngân hàng Việt Nam như OpenBanking, Open Finance hay trong toàn xã hội như Open Data. Thông qua giao diện Open API, hệ thống ngân hàng có thể kết nối, cung cấp toàn bộ cho các chủ thể của nền kinh tế, không chỉ giới hạn trong ngành fintech, tài chính mà còn đến các công ty bán lẻ, công ty dịch vụ logistic, từ đó cung cấp dịch vụ ngân hàng cho toàn thể người dân.
Bài viết độc quyền bởi Chuyên gia công nghệ FPT IS
Nguyễn Hữu Dũng
Chuyên gia Cấp cao
Công ty Hệ thống Thông tin FPT.