Was ist eine Banking-API und wie funktioniert es?

Was ist eine Banking-API und wie funktioniert es?

Der Bankenbereich ist heutzutage einer der Bereiche, die sich am schnellsten entwickeln und wo eine digitale Transformation und technologische Veränderungen erfolgen. Die COVID-19-Pandemie hat Banken dazu veranlasst, ihre digitale Transformation zu beschleunigen. Um den ständig wachsenden Kundenanforderungen gerecht zu werden und die Konkurrenz zu überwinden, müssen die Banken die neuesten Technologien implementieren und die Entwicklungszeit ihrer Apps verkürzen indem sie sich mit Fintech- Drittanbietern integrieren, um ihren Kunden digitale Dienste und Lösungen anzubieten.

Diese Art der Integration wird durch API oder Application Programming Interface möglich. Es verbindet Fintech und Banken direkt miteinander, damit sie einen besseren Kundenservice bieten können.

Obwohl es mehrere Arten der Kommunikation über API gibt, konzentrieren wir uns in diesem Artikel auf die REST-API, da sie heutzutage ein goldener Standard für die Kommunikation zwischen Internetknoten ist. Erfahren Sie, was eine Banking-API ist, welche Vorteile sie bietet und wie sie funktioniert.

Was ist eine Banking-API?

Banking API ist eine Schnittstelle, die hilft, mit einem Banking-System (BaaS) über die geschützten Internetkanäle zu kommunizieren. Über API stellt BaaS seine Dienste hinter seiner leistungsstarken Infrastruktur anderen Fintech-Anbietern zur Verfügung, die Bankdienstleistungen in ihre Anwendungen einbetten müssen.

Bei der Verwendung der Banking-API ermöglichen die Fintech-Anbieter ihren Kunden, eine große Anzahl von Operationen durchzuführen, wie z.B.:

  • Kunden-Onboarding;
  • KYC-Prozess;
  • Kontoverwaltung;
  • Ausgabe und Verwaltung von Zahlungskarten;
  • Geldüberweisungen;
  • FX-Operationen;
  • Verlauf der Transaktionen;
  • eingehendes Profil, Registrierung von Kontoänderungen;
  • Registrierung eingehender Transaktionen oder Änderungen des Transaktionsstatus;
  • Gebührenverwaltung und -validierung.

Arten von Banking-API

Es gibt verschiedene Arten von APIs, die von Banken bereitgestellt werden:

  • Private APIs: interne Bank-APIs, die nur zur Verbesserung interner Prozesse verwendet werden.
  • Offene/öffentliche APIs: Diese APIs stehen allen Dritten vollständig zur Verfügung, sodass sie Bankdienste nutzen oder die gleichen Dienste ihren eigenen Kunden anbieten können.

Obwohl die Zahl der Public-Banking-APIs verhältnismäßig klein ist, haben die Forschungen von McKinsey herausgefunden, dass 75 Prozent der 100 größten Banken weltweit öffentliche APIs zur Verfügung gestellt haben.

Vorteile der API im Banking

Im Jahr 2021 haben 47% der Banken und Kreditgenossenschaften (CUs) in APIs investiert oder diese entwickelt, gegenüber 35% im Jahr 2019. Weitere 25% planen, bis Ende 2022 in diese Technologie zu investieren. Was macht also die Banking-API so attraktiv?

APIs spielen eine wichtige Rolle und bringen erhebliche Vorteile für die Weiterentwicklung und Innovation von Banken. Während sich die Banken auf die Entwicklung und Verbesserung ihres Kernbanksystems konzentrieren können, können verschiedene Fintech-Startups und -Anbieter Tools und Anwendungen auf dem Kernsystem aufbauen und diese Banken über APIs zur Verfügung stellen, wodurch ganze Ökosysteme um Banken herum geschaffen werden können. Beispielsweise können die Banken über solche Apps Daten über ihr Kundenverhalten erhalten und kundenindividuelle Marketingkampagnen erstellen. Kundensprachsysteme ermöglichen es den Banken, Kundenfeedback zu erhalten, das genau angibt, welche Angebote ihnen gefallen und welche nicht. Durch die Einbettung von PFM-Systemen können die Banking-Apps ansprechende Erfahrungen wie Ausgabenplanung und -verfolgung, Abrechnung und Erreichung von Sparzielen usw. bieten.

Nicht nur die Banken können von offenen APIs profitieren. Auch die Fintech-Unternehmen können Apps entwickeln, die auf den Daten basieren, die sie von Banken erhalten können. Die Verwendung von APIs im Open Banking ermöglicht es den Zahlungsdienstleistern wie Apple Pay, Stripe, Square, PayPal und Amazon, sich reibungslos mit den Bankkonten der Kunden zu verbinden.

FinTech-Startups und Unternehmen entwickeln Buy Now, Pay Later (BNPL)-Lösungen, mit denen die Kunden in wenigen Minuten einen Minikredit erhalten können. Die Verwendung von APIs ermöglicht es den Kreditgebern, Kreditantragsprozesse zu beschleunigen und eine höhere Kundenzufriedenheit zu erreichen.

​​Eine digitale Geldbörse verwendet eine Banking-API, um Ihre Zahlungsdaten mit Ihrem verbundenen Bankkonto zu verknüpfen.

Solche digitalen persönlichen Assistenten wie Alexa oder Siri können über eine offene API integriert werden, um das Einkaufen und Geldüberweisen bequem zu machen.

Wie funktioniert die API in Banking-Plattformen?

Mit der Banking-API kann der gesamte Lebenszyklus von Konten und Transaktionen durch die Automatisierung beschleunigt werden, die es ermöglicht, Tausende von Operationen täglich und Millionen von Operationen monatlich durchzuführen. Ohne menschlichen Eingriff.

Während es eine Reihe von API-Aufrufen gibt, die ein Verbraucher durchführt, sollte letzterer einige API-Endpunkte implementiert haben, die nach außen gerichtet sind. Sie dienen zur Registrierung von Veranstaltungen, die vom Bankanbieter über Web-Hooks kommen.

Apps und Dienste von Drittanbietern

Durch die Verwendung von Kommunikationstechniken wie REST API, JSON-Format, TLS-Schutz, Tokens für die Authentifizierung und Web-Hooks können Sie den sogenannten „Bus-Faktor“ Ihres Teams erhöhen. Es dient dafür, dass wichtige Teamplayer im Notfall ersetzt werden können.

Die oben aufgeführten Technologien sind die gemeinsame „Sprache“, die die Mehrheit der Softwareingenieure auf dem Markt jetzt versteht. Es ist ein weit verbreiteter Standard, der die Erstellung von Integrationen so schnell wie möglich macht. Dies wirkt sich wiederum auf die Endkosten des Produkts aus.

Der Nutzer der Anwendung verfügt normalerweise über ein Modul (normalerweise Konnektor oder API-Gateway genannt), das für die Kommunikation mit einer Banking-Plattform verantwortlich ist.

Die eigentliche Kommunikation erfolgt über API-Token/Schlüssel, die speziell von Ihrem Anbieter ausgestellt werden. Dies ist ein Geheimnis, das in Sicherheit gehalten wird. Wenn jeder API-Aufruf ausgeführt wird, wird ein Token in den Header jeder HTTP-Anforderung eingefügt. Beispiel:

Bearer API_TOKEN

Der API-Aufruf wird über die geschützten Kanäle ausgeführt. Normalerweise wird ein SSL/TLS-Schutz eingerichtet. Wenn eine solche Möglichkeit nicht besteht, wird eine andere Sicherheitsmethode verwendet, zum Beispiel, die asymmetrische Verschlüsselung.

Wenn eine Anfrage ausgeführt wird, gibt die Banking-Plattform eine Antwort zurück. Normalerweise im JSON-Format, das alle Details zum Vorgang enthält. Der HTTP-Antwortcode spiegelt auch den Gesamtergebnisstatus wider.

Die Anwendung, API-Verbraucher, hat ihren eigenen Satz von IDs (Benutzer, Konto, Transaktion). Dasselbe gilt für das Remote-Banking-System. Aus diesem Grund sollte der Aufrufer die Zuordnung zwischen der lokalen und der Remote-ID jedes Objekts speichern. Dies ist notwendig, um die Daten und den Status von Objekten in Zukunft zu verwalten, damit die Banking-Plattform Objekte anhand ihrer selbst generierten IDs erkennen kann.

Der Bankanbieter hat normalerweise Unterstützung für Idempotenz. Das bedeutet, dass die Verarbeitung der Operation beendet wird, wenn es sich um einen doppelten Aufruf handelt. In diesem Fall gibt der Provider den HTTP-Statuscode 409 zurück.

Wenn sich der Status entfernter Objekte ändert (z. B.: Benutzer wird gesperrt, Konto wird aktiviert) oder eine neue Transaktion registriert wird, benachrichtigt das Banksystem den Abonnenten unter Verwendung von Web-Hooks. Der entfernte Aufrufer führt den API-Endpunkt aus, der zuvor vom Anwendungsverbraucher unter Verwendung der voreingestellten IP-Adresse angegeben wurde. Es liefert Änderungen, die außerhalb des konsumierenden Dienstes initiiert wurden.

Hier sind einige Beispiele für API-Endpunkte:

# Endpunkt zum Anlegen des Kunden/Nutzers:

POST /api/v1/user

# Endpunkt zum Überprüfen des Status von Nutzer-KYC mit Alternativen:

GET /api/v1/user/12345/kyc/status

GET /api/v1/kyc/status?user=12345

# Endpunkt zum Bereitstellen eines neuen Dokuments für einen Nutzer KYC:

POST /api/v1/user/12345/kyc/document

# Endpunkt für die Validierung einer Transaktion der Konto-ID 12345 mit Alternativen:

POST /api/v1/account/12345/transaction/validate

POST /api/v1/transaction/validate

# Endpunkt zum Überprüfen des Status einer Transaktion mit der ID 54321 mit Alternativen:

GET /api/v1/account/12345/transaction/54321

GET /api/v1/transaction/54321

GET /api/v1/transaction?ID=54321

So bereiten Sie Ihre Anwendung für die Integration über API vor

Stellen Sie bitte vor Beginn der Implementierung Ihrem Bankdienstleister folgende wichtige Fragen:

  • Was ist das API-Ratenlimit?
  • Wie viele Aufrufe kann BaaS pro Sekunde durchführen?
  • Was ist SLO für Antwortlatenz?
  • Was ist eine Richtlinie für die Bereitstellung von Webhooks durch den Hersteller, wenn Ihre Anwendung nicht reagiert?

Bereiten Sie Ihr API-Token vor, das vom Bankdienst bereitgestellt ist. Sicher aufbewahren. Bitte beachten Sie, dass mehrere Token angezeigt werden können, wenn Sie viele Umgebungen haben werden. Normalerweise ist es eine Sandbox und eine Produktionsumgebung.

Stellen Sie sicher, dass Ihr System über eindeutige gehashte Kennungen verfügt. Normalerweise ist es eine Folge von lateinischen Buchstaben und Ziffern. Die Länge variiert zwischen 16 und 40 Zeichen. Stellen Sie sicher, dass das Format und die Länge Ihrer ID mit den Anforderungen des Remote-Systems kompatibel sind.

Bereiten Sie ein API-Gateway für den Bankanbieter vor, das nur für Kommunikationszwecke dient. Dadurch können Sie geschützt werden, eine Kommunikationslast ausgleichen und die Funktionalität getrennt halten.

Stellen Sie sicher, dass Ihre Plattform eine feste IP-Adresse für externe Aufrufe hat. Bitten Sie Ihren Partner, Ihre IP von seiner Seite auf die Whitelist zu setzen. Dies ist ein schlechter Auslöser, wenn ein Bankanbieter das Whitelisting nicht unterstützt. Setzen Sie die IP-Adresse des BaaS-Webhooks-produzierenden Servers auf die Whitelist.

Bitte achten Sie bei der Planung der Implementierung darauf, alle HTTP-Codes zu verarbeiten, die der entfernte Server zurückgeben kann. Unter den wichtigsten sind: 200, 201, 301, 308, 401, 403, 404, 408, 409, 429, 500, 503, 504.

Bereiten Sie sich darauf vor, dass der Bankanbieter eine Zertifizierung Ihrer Kommunikation vorhalten kann. Normalerweise ist es eine kurze Sitzung mit Akzeptanztests, wie Ihre Anwendung die API verwendet und auf die verschiedenen Ereignisse reagiert, die von der Banking-Plattform gesendet werden.

Fazit

Der Zugang zur Open-Banking-API beseitigt Barrieren zwischen Fintech-Unternehmen und Banken und trägt im Allgemeinen zum Wachstum der Finanzbranche bei sowie verbessert gleichzeitig die Qualität der Dienstleistungen, die für die Kunden erbracht werden.

APIs helfen bei der Schaffung von Banking-Ökosystemen und integrieren gleichzeitig Anwendungen und Tools von Drittanbietern, was zu einem besseren Kundenservice und einer stärkeren Kundenbindung führt. Dritte können auch die Finanzinformationen der Banken nutzen, um innovative Anwendungen zu entwickeln und ihren Kundenstamm zu vergrößern, während sie gleichzeitig den Umsatz und die Marktpräsenz steigern.

Insgesamt wird es erwartet, dass API-Banking-Dienste in naher Zukunft nur noch beliebter werden. Wenn Sie nach Entwicklungsdiensten für Banking-Software suchen oder eine App mit Zugriff auf die Banking-API erstellen möchten, können Sie sich gerne an unser Expertenteam wenden.