今年3月,財金公司成立了開放API研究暨應用發展委員會,並在委員會底下又成立開放API研究諮詢小組,同時往下設立技術分組與資安分組,共同制訂與推動開放API標準。
銀行圈對API並不陌生,早就用於串連各種合作夥伴。但是,「現有API沒有一套共通的規格和語言。」國泰世華銀行資訊總管理處副總經理王志峰特別強調。這也是作為開放API研究諮詢小組召集人的他,認為各家銀行在與第三方業者合作時,最大的問題。
由王志峰與15家銀行的代表,正站在臺灣開放銀行之路的第一線,一起為這個痛點找答案。 而在財金公司訂定API標準的過程中,每每會透過開放API研究諮詢小組會議,先與小組的銀行成員討論,希望找出可統一所有銀行的作法,也希望可以有更大的應用。
所以,從第一階段的開放API技術標準,就參考了國際Open API Initiative組織的OpenAPI Specification(OAS)作為Open API技術規格的一致性標準,並遵循OAS規範的RESTful API定義,使API互通介面不受程式語言限定。
除了參考國際標準,在API設計上,王志峰表示,國泰世華更是提供了自家內部開發API的實務經驗和標準,作為標準訂定時的參考。像是國泰世華已採用了可幫助開發人員設計、建構、記錄和使用RESTful Web服務的Swagger標準,後來也納入第一階段的標準中。
使用同一套Swagger框架來設計API,不論在API的功能規格、參數設計都有一套規範,任何一家TSP,不需要重新了解每一家銀行的API設計方式和定義就能開始串接,可以加快開發時間。甚至,財金還加上了API版本規範,更方便用來維護不同版本的API。
這意味著,以後第三方業者與銀行API的串接,會有一套更明確的共通介接作業方式,而不只是大方向的規範。
另一個好處,王志峰指出,這次等於統整了銀行彼此資料交換和串接的標準,銀行間彼此也可以快速透過Swagger設計的API,與其他人快速串接。等於是,所有銀行開發者間也有了一套共通的API溝通語言。
目前,在第一階段公開資料查詢API的支援上,已有API介接經驗的銀行,像是中信、台新、凱基、國泰世華都迅速完成支援,其他銀行也很快就跟上。但王志峰認為,第二階段API的導入難度會更高,不是所有銀行都能跟得上,他希望,可以透過更詳細的API訂定參考與經驗交流,協助小規模的銀行,提高對外API介接的能力。
下階段開放資訊涉及個資,將採取更嚴格國際資安標準
資安標準上也會朝國際主流標準靠攏,舉例來說,到了第二、第三階段會採用資安要求更高的身分驗證機制,目前偏向採用國際常見的OAuth 2.0。王志峰解釋,原因是,接下來會涉及使用者資料,其中又分為身分證號碼(IDN)或是機敏性資料,像是信用卡卡號,就得考慮到要有加解密的作法。目前,已有銀行開始進行OAuth 2.0的串接驗證,國泰世華就是其中一家。王志峰提到,國泰會慢慢導入這樣的作法,讓自家金融服務能朝國際主流標準前進,他相信,各家銀行也應如此。
王志峰提到,Open Banking的精神,得回歸到資料所有權是客戶的觀點,銀行得基於客戶同意下,以安全的方式提供出客戶資料。他也認為,當TSP業者提供的服務備受客戶青睞時,客戶會選擇有與TSP合作的銀行,優先使用其金融服務。這也是國泰積極擁抱Open Banking的原因之一,「跟得上的銀行,比較不會在數位轉型風潮中被市場淘汰。」王志峰強調。
國泰也認為,Open Banking對銀行與TSP來說,應該是互惠關係。不僅是銀行單方面提供資料,銀行是各家TSP業者合作的集中處,也可以趁機吸收TSP的創新策略與服務。若以這角度來看,銀行本身的角色,不見得會邊緣化。
甚至,臺灣已有像聯合徵信中心、電子發票整合服務平臺,以及許多戶役政單位,國泰認為,這些都是國外沒有的機構或角色,是發展Open Banking的基礎建設,若他們未來也能加入開放的行列,臺灣在開放銀行之路會走得更快。
打造技術與服務中臺,分流核心系統交易量
儘管目前Open Banking的話題焦點是Open API、TSP業者管理等,但若要能徹底落實開放API,對銀行來說,還有一個更大的考驗,就是自身平臺系統的體質是否健全。
Open API要做得好,王志峰認為,銀行後面支援的平臺沒有做好準備,其實會很辛苦。所以,國泰世華第一個要解決的,就是資訊架構問題。過往,隨著各種業務需求的增加,直接在銀行核心系統不斷擴充功能,導致核心系統越來越龐大,但是,這些業務可能不見得是銀行的核心業務。王志峰提到,核心系統每天高達9成工作量都只是進行查詢,只有1成以下才是真正的交易。當銀行系統要支援不可預期的Open API需求時,「最大的瓶頸,還是銀行後臺核心系統的承載力。」
為了解決這個問題,國泰的作法是,將查詢或批次能處理的系統或服務轉移到中臺,核心系統只保留交易功能,藉此來分流,以提高核心系統的承載容量,並透過銀行中臺的橫向整合,「讓核心系統回歸它原來的功能」他強調。
甚至,國泰世華內部還特別定義出技術中臺和服務中臺的資訊架構概念,成立了一個中臺發展部,負責銀行中臺架構與服務的設計。王志峰提到,國泰內部IT,人人都能到這個部門學習中臺的開發方式與技能,隨著越來越多IT成員熟悉這些能力,就能發揮出中臺的綜效,這也是國泰轉型計畫的一部分。
打造中臺微服務與私有雲平臺,強化IT體質擁抱Open Banking
國泰從去年就開始打造銀行中臺微服務的原因,同時也一併引進了私有雲容器化平臺,也將銀行內部各系統的介接統一採用API,以利彈性縮放平臺上服務所需的運算資源。而銀行中臺也可以進行服務整合,同樣以API對外提供服務給第三方。
國泰世華銀行中台發展部經理黃一峯解釋,一般來說,支付API每秒可提供300次交易(TPS)就算很好的效能了,而國泰世華幾年前,開始協助合作通路錢包發展行動支付所需的API平臺,系統承載量可以達到每秒500筆以上(TPS)的交易,不只當時,也是目前業界最高者。
但,國泰沒有因此而停下腳步,還大動作升級IT架構來強化體質,國泰世華銀行中台發展部經理鄭正略表示,去年中,國泰開始導入微服務架構,來打造中台微服務,進一步將銀行的大型系統,拆解成一支支小型服務,更容易快速伸縮這些服務的規模。
正導入APIM管理自家API
目前,國泰也正在導入API管理平臺 (API Management,APIM),來管理自家的API。王志峰提到,因為國泰除了60多支的對外API,連銀行內部各系統介接,現在也都統一採用API進行跨系統呼叫,總數高達750多支API。「這麼做的原因是,希望內部系統的介接標準一致,即便哪天得換掉某一套系統,API串接仍保持一致,其他系統不用特別修改寫法就能繼續呼叫。」
架構調整後,王志峰透露,若從國泰內部系統來呼叫中臺的服務API,光是帳單服務現在可以提供到每秒4,000次呼叫的能力。他提到,這代表,國泰技術中臺的承載力提升了,而且容量可以橫向擴充,這樣的能力不只是這一支帳單服務獨有,其他服務也都可以具備。
這樣的架構,讓國泰更有能力將更多服務集中到中臺,目前,王志峰提到,國泰會優先將客戶在數位通路最需要的服務,集中到中臺上,讓前臺的數位通路,例如App,或是與其他服務介接時,能以最快的速度對外提供服務。未來,國泰將繼續將更多核心系統的服務,遷移到現在的中臺架構上,最後目標是,核心系統只負責單純的存、匯功能。文⊙李靜宜
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-03
2024-10-02
2024-10-01
2024-10-01