تعاریف و مفاهیم زیرساخت در بانکداری باز (بخش دوم)

با توجه به اینکه هر تغییر بزرگی در ساختارهای مالی هزینه‌های مالی و اعتباری زیادی به همراه دارد، لازم است تا اولین گام‌ها برای ساختن چنین سیستم‌هایی محکم و با دقت تمام برداشته شوند. انجام چنین کاری در حوزه بانکداری باز (Open Banking) حتی از این مورد هم مشکل‌تر است، زیرا علاوه بر ایجاد یک ساختار امن و محکم باید انعطاف را نیز مد نظر داشت تا عرصه برای ظهور استعدادها و بروز خلاقیت و نوآوری باز باشد. حفظ توازن بین امنیت داده و اشتراک‌گذاری آن نیاز به دقت نظر دارد. از این رو در این مقاله به تعریف مفاهیم و واژگان بنیادی و لوازم ساخت این Infrastructure یا زیر ساخت پرداخته‌ایم.

0 131

برای مطالعه بخش اول مقاله زیرساخت در بانکداری باز اینجا کلیک کنید.

دسترسی به داده‌ها به زعم انستیتو داده‌های آزاد، در یک طیف قابل طبقه‌بندی است که در نگاره 1 قابل مشاهده است. در این طیف، ردیف بالایی طبقه دسترسی، ردیف میانی مجوز‌های تعریف شده یا الزامی و ردیف پایین یک مثال از این دست داده هستند. داده‌ها از بسته به اشتراکی تا باز یا آزاد تغییر ماهیت در مقدار اشتراک‌گذاری دارند. همچنین می‌توان دید که از چپ به راست نوع داده‌ها از شخصی و خصوصی به اطلاعات تبلیغاتی و تجاری و در نهایت دولتی تغییر می‌کند. علاوه بر آن حجم داده‌ها از راست به چپ کم می‌شود. (Open Data Institute, 2015)

تعاریف و مفاهیم زیرساخت در بانکداری باز (بخش دوم)

نگاره 1: طیف داده‌ها از نظر اشتراک‌پذیری. در این طیف بالاترین ردیف طبقه دسترسی، ردیف میانی مجوزها و ردیف پایین یک مثال از طبقه می‌باشد. منبع: انستیتو داده آزاد به آدرس theodi.org

  • داده با دسترسی داخلی: این نوع داده در انتهای طیف اشتراک قرار دارد و مجوزهای دسترسی آن توسط قراردادهای استخدامی و سیاست‌گذاری‌ها تعیین می‌شوند. به عبارتی شرکت مالک داده است که تعیین می‌کند این اطلاعات باید در اختیار چه کسانی از درون مجموعه قرار داشته باشند و همچنین این داده‌ها قابل اشتراک با سایرین نیستند. به طور مثال می‌توان به گزارشات اختصاصی طبقه‌بندی شده فروش شرکت اشاره کرد.
  • داده‌های با دسترسی اسمی: دسترسی به این داده‌ها به طور صریح در قراردادها مشخص شده‌اند که از آن جمله می‌توان اطلاعات و سوابق شخصی تراکنش‌ها را مثال زد.
  • داده‌های با دسترسی گروهی که دسترسی به آن‌ها با ورود به سیستم و ثبت‌نام قبلی در دسترسی قرار می‌گیرند. اشتراک داده‌ها با شرکای تجاری معمولا از این نوع هستند.
  • داده‌های با دسترسی عمومی: این داده‌ها که طیف وسیعی را در بر می‌گیرند می‌توانند در اختیار هر کسی قرار بگیرند، ولی مجوز‌های استفاده از آن‌ها محدود هستند و به طور مثال نمی‌توان اطلاعات را بدون مجوز انتشار داد یا چاپ کرد و یا با داده‌کاوی نتایج آن را منتشر کرد.
  • دسترسی آزاد: دسترسی به این داده‌ها برای همه آزاد است و مجوزها استفاده از آن را نیز محدود نمی‌کنند.

البته باید توجه داشت انستیتو داده آزاد، این طبقه‌بندی اطلاعات را با توجه به شرایط قانون‌گذاری و حساسیت‌های عمومی منطقه خود تنظیم کرده است و تعیین مصادیق طبقه‌بندی (و نه طبقه‌ها) وابسته به شرایط محلی است و برای کشور ایران باید بازتنظیم شود.

با توجه به نگاره 1 و توضیحات داده شده در مورد آن Open Data یا داده آزاد داده‌ای است که هر فردی می‌تواند بدون محدودیت آن را مورد استفاده قرار داده و با دیگران به اشتراک بگذارد. به این ترتیب API داده آزاد که پیشتر به آن اشاره شد یک واسطه عمومی برای به اشتراک گذاشتن داده‌های آزاد است که به عنوان مثال در مورد آن‌ها می‌توان به اطلاعات یک خدمت یا کالای تجاری اشاره کرد.

جزئیات اطلاعات شخصی بانکی یک فرد یا لیست تراکنش‌های یک شرکت می‌تواند به عنوان داده‌های غیرآزاد یا بسته و یا مشترک باشد. در بانکداری آزاد این داده‌ها می‌توانند از طریق یک API آزاد یا باز به اشتراک گذاشته شوند، اما این دسترسی منوط به موافقت مالک داده و نظارت‌های لازم برای کنترل این روند خواهند بود. این داده‌ها در نتیجه این عمل اشتراک‌گذاری نباید به هیچ وجه منتشر شده یا به عنوان داده آزاد در نظر گرفته شوند. لازم است در مورد دو نوع مختلف API‌ گفته شده در این بند و بند قبل توجه لازم مبذول شود.

آخرین حلقه لازم برای ساخت یک زیرساخت تعریف استاندارد باز یا آزاد است. استاندارد باز با آزاد با مشارکت عمومی تدوین شده و به طریق مشابهی نگهداری می‌شود و دسترسی به آن نیز آزاد خواهد بود تا هر فردی قادر باشد با توجه به آن از داده‌ها و سایر منابع برای مقاصد شخصی استفاده کند. به عبارت دیگر استاندارد بانکداری باز باید یک استاندارد آزاد یا باز باشد که اصول آن در اختیار همه قرار دارد تا بتوانند برنامه‌های خود را بر بستر این چارچوب توسعه دهند و همچنین خطاها و لغزش‌ها در عمل به این استاندارد با توجه به آن قابل پیگیری باشند.

ایجاد و بکارگیری بانکداری باز بیش از اینکه یک معظل تکنیکی و فنی باشد توسط مشکلات امنیتی، نظارتی، قابل اعتماد بودن، استانداردها، ارتباطات و قانون‌گذاری به تعویق افتاده‌اند. به همین دلیل در ادامه مقالات هر یک از این موارد مورد بحث قرار خواهد گرفت.

بهتر است وظیفه تدوین، بکارگیری، توسعه و نظارت بر استانداردهای بانکداری باز برعهده یک نهاد مستقل اما با همکاری و همیاری با صنایع و کسب و کارهای مرتبط گذاشته شود. به این ترتیب علاوه بر چالاکی در اقدامات، ایجاد استاندارد متناسب با وضعیت اکوسیستم و نظارت دقیق و فارغ از فشارهای جناحی حاصل می‌شود. علاوه بر این API هایی که برای منظور بانکداری باز ساخته می‌شوند نباید صورت متمرکز یا هاب‌گونه داشته باشند و بهتر است به شکل غیرمتمرکز ساخته شود تا علاوه بر پیشگیری از وقوع فساد، به تقلید از شبکه‌های توزیع شده‌ای مانند اینترنت یا بلاک چین، فضا را برای نوآوری فراهم کند.

همچنین تجربه توسعه نرم‌افزارهای اوپن سورس (منبع باز) در سالیان اخیر نشان داده است که استفاده از این روش علی رغم دسترسی همگان به کدها، در صورت رعایت موارد لازم حفاظتی، بر امنیت کدها خواهد افزود و همچنین آن‌ها را شفاف‌تر و بستر را برای نوآوری مهیاتر خواهد کرد. این مساله به دلیل آن است که همانطور که تاریخ نشان داده است، کدهای مورد استفاده توسط یک سازمان هر چند بسیار خوب محافظت شده باشند اما نسبت به نفوذ آسیب‌پذیرند و همچنین در هر حال نقاط ضعف امنیتی آن‌ها توسط خرابکاران کشف خواهد شد. بنابراین بهترین استراتژی آن است که با در اختیار قرار دادن کدها برای همه هم توسعه‌دهندگان را برای ارائه محصول قوی‌تر تشویق کنیم و هم نقاط ضعف هرچه سریع‌تر مورد کشف قرار بگیرند.

یکی از مواردی که قبلا هم بر آن تاکید کردیم، این است که در بانکداری باز کنترل داده‌ها و اطلاعات مشتریان بر عهده خود آن‌ها گذارده خواهد شد و در عوض مسئولیت ابتدایی آموزش و ساخت بستر مناسب بر عهده بانک‌ها گذاشته خواهد شد. پس از اطمینان از علم کاربر به نحوه و مسئولیت حفاظت از اطلاعات، در صورت اجازه وی به برنامه، اختیارات نوشتن و خواندن داده تنها از طریق API به واسط داده خواهد شد و واسط دسترسی مستقیم به اطلاعات نخواهد داشت.

ساختار اساسی بانکداری باز

در تهیه ساختار اساسی بانکداری باز باید سه مساله قواعد، اکوسیستم/بازیگران و مدل ارتباط بازیگران را با توجه به قواعد در نظر داشت.

زیرساخت بانکداری باز شامل چهار عنصر اصلی می‌شود که متشکل از قواعد ناظر بر اطلاعات، قواعد ناظر بر امنیت، قواعد ناظر بر API‌ و قوانین نظارتی، کنترلی و راهبری بانکداری باز می‌شوند.

  • قواعد ناظر بر داده‌ها تضمین می‌کنند که داده‌هایی که پیش از این در دیتابیس‌ها نوشته شده‌اند و یا در آینده نوشته می‌شوند مطابق با یک قالب یکتا هستند که باعث می‌شود استفاده از این داده‌ها در API آسان باشد.
  • قواعد ناظر بر امنیت، ویژگی‌هایی را اجباری می‌کنند که به موجب آن امنیت داده‌ها، اطلاعات خصوصی و حریم شخصی مشتریان یا کاربران در معرض خطر افشا یا هرگونه سواستفاده قرار نگیرد.
  • کارکرد قواعد ناظر بر API در مراحل طراحی، ساخت و کارکرد آن اعمال می‌شوند تا حلقه واصلی بین قواعد امنیتی و همچنین قواعد اطلاعات باشند و علاوه بر آن هر دو ویژگی حفاظت اطلاعات و اشتراک آن‌ها تامین شوند.

واضح است که اطمینان از به کار بسته شدن این قواعد بر عهده قوانین نظارتی و راهبری بانکداری باز است.

اکوسیستم بانکداری باز شامل مشتریان، موسسات مالی و بانک‌ها که نگهداری داده‌های مشتریان را بر عهده دارند و ارائه دهندگان خدمات ثانویه می‌شوند که درخواست اطلاعات مشتری را دارند و موسسات مالی با تائید مشتری مجاز به ارائه این اطلاعات می‌شوند. بدیهی است خود ارائه کنندگان اطلاعات می‌توانند نقش دریافت‌کننده اطلاعات را هم دارا باشند ولی دسترسی آن‌ها به این اطلاعات مطابق با قواعد ناظر بر امنیت دوباره منوط به تائید مشتری خواهد بود.

مشتریان یا کاربران: اشخاص و کسب و کارهایی که داده‌های خود را به اشتراک می‌گذارند.

تامین کنندگان داده‌ها: بانک‌ها‌، موسسات تجاری، شرکت‌ها و سایر ارگان‌هایی که داده توسط آن‌ها ذخیره می‌شود. (این دسته می‌تواند شامل موسساتی که داده‌های هویتی ارائه می‌کنند نیز باشد.)

دریافت‌کنندگان داده: فینتک‌ها، برنامه‌نویسان و سایر ارگان‌هایی که با استفاده از این داده‌ها نسبت به طراحی و ساخت خدمات جدید اقدام می‌کنند.

روابط طرف‌های درگیر در اکوسیستم باید به گونه‌ای تنظیم شود تا منافع و وظایف متضاد آن‌ها باعث نظارت درونی شود. به طور مثال قسمتی که مسئولیت ساخت و بررسی پیشنهادات برای توسعه API را بر عهده دارد، باید مجزا از سهامداران مهم و بزرگ بانکی انتخاب شود تا ارتباط دو سویه این بازیگران منجر به ساخت یک API بهتر برای مشتریان نیز باشد.

بنابراین در یک نگاه کلی می‌توان دورنمای ساختار را به صورت زیر ترسیم کرد:

  • API، داده‌های مورد نیاز آن و قواعد ناظر بر امنیت داده‌ها که در سایه آنها استفاده از داده‌ها ممکن شده و از فعالیت‌های خرابکارانه و نفوذ در امان می‌مانند و در عین حال این داده‌ها به کسانی که قصد استفاده از آن را دارند به صورت امن ارسال می‌شوند.
  • یک مدل نظارت و راهبری که به موجب آن اعتماد بین طرف‌های درگیر به وجود آمده و همچنین مکانیسم‌های حل اختلاف و نزاع بین طرفین در آن با در نظر گرفتن قواعد مصوب، موجود باشند.
  • منابع لازم برای دولوپرها که آن‌ها و واسطه‌ها را قادر می‌کند درباره بانکداری باز به تحقیق، توسعه و آزمایش پرداخته و محصول تولید کنند.
  • منابع آموزشی و راهنماهای برنامه‌نویسی API و همچنین منابع آموزشی برای مشتریان تهیه شوند تا نسبت به این تغییر دیدگاه آگاه شوند.

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.