Baza wiedzy

Dyrektywa PSD2 (Payment Services Directive 2) wdrożona 13 stycznia 2018 r. dotyczy rynku płatności. Nakazuje bankom i innym dostawcom usług płatniczych m.in. umożliwienie Klientom Banku realizowania płatności ze swoich rachunków na zlecenie klienta (usługa inicjowania transakcji płatniczej - Payment Initiation Service - PIS) i udostępnienie im odpowiednich danych o rachunku płatniczym (usługa dostępu do informacji o rachunku - Account Information Service - AIS) za pośrednictwem dostawców będących stroną trzecią (TPP). Usługi te mogą być świadczone przy wykorzystaniu interfejsu programistycznego aplikacji (ang. Application Programming Interface, API) w stosunku do rachunków płatniczych dostępnych on-line. Na bazie tych rozwiązań budowane są nowe usługi i oferty dla klientów bankowych.

Jest to wykorzystanie dostępu do rachunków bankowych za pośrednictwem API do tworzenia nowych i innowacyjnych usług i produktów, które mogą pomagać klientom (zarówno indywidualnym, jak i firmom) m.in. w zarządzaniu ich codziennymi finansami, jak i poszerzaniu oferty dostępnych rozwiązań finansowych. Otwarta bankowość opiera się na współpracy pomiędzy światem finansów a innymi branżami w celu polepszania doświadczenia klienta oraz rozszerzenia katalogu usług i produktów świadczonych na rzecz konsumentów, ze szczególną rolą fintechów i startupów. Swoim Klientom PKO Bank Polski obecnie oferuje usługę agregacji rachunków w ramach usługi dostępu do informacji o rachunku – więcej można przeczytać na https://www.pkobp.pl/klienci-indywidualni/bankowosc-elektroniczna/open-banking/.

Definiuje interfejs na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych. API udostępnione przez PKO Bank Polski jest oparte na standardzie PolishAPI, będącego odpowiedzią polskiego sektora płatniczego (banków i podmiotów niebankowych) na potrzebę umocnienia innowacji finansowych w Polsce w niedyskryminujący i zrównoważony sposób. Źródło tekstu: https://polishapi.org.

Nowe usługi wprowadzone przez dyrektywę PSD2 mogą być świadczone przez krajowych oraz unijnych dostawców usług płatniczych, o ile dostawcy ci posiadają odpowiednie zezwolenie na świadczenie usług inicjowania transakcji płatniczej (PIS) i dostępu do informacji o rachunku (AIS) od swojego lokalnego nadzorcy regulacyjnego. W przypadku usługi potwierdzania dostępności środków na rachunku płatniczym (CAF), uprawniony do jej świadczenia będzie dostawca wydający instrumenty płatnicze oparte na karcie płatniczej pod warunkiem spełnienia warunków określonych w ustawie o usługach płatniczych.

Aby zostać TPP, należy uzyskać od właściwego organu nadzoru status dostawcy usług płatniczych oraz zezwolenie na świadczenie usługi inicjowania transakcji płatniczej (PIS) lub usługi dostępu do informacji o rachunku (AIS). Dostawcy usług płatniczych z innych krajów UE mogą świadczyć usługi PIS i AIS pod warunkiem uzyskania stosownego zezwolenia nadzoru macierzystego na świadczenie tych usług oraz skorzystania z formuły dozwolonej przez dyrektywę PSD2 tj. wykonywania swojej działalności poprzez oddział, w ramach działalności transgranicznej lub za pośrednictwem agenta. W przypadku usługi potwierdzania dostępności środków na rachunku płatniczym (CAF) uprawnieni do jej świadczenia będą dostawcy wydający instrumenty płatnicze oparte na karcie płatniczej.

Innowacyjne firmy rozwijające swój biznes w oparciu o otwartą bankowość mogą skorzystać z programu Let’s Fintech with PKO Bank Polski - platformy współpracy pomiędzy bankiem a startupami. W ramach programu bank poszukuje innowacyjnych rozwiązań, także w obszarze otwartej bankowości/API, którym zapewnia dostęp do niezbędnej infrastruktury oraz wsparcie w rozwoju biznesu/technologii, a docelowo także w nawiązaniu współpracy komercyjnej z bankiem. Więcej na stronie internetowej Let’s Fintech.

Jeżeli jesteś zainteresowany bezpośrednią współpracą i budową nowych dedykowanych usług opartych o wykorzystanie API z PKO Bankiem Polskim, zarejestruj się na Portalu i napisz do nas korzystając z zakładki "Zgłoszenia".

Aby przygotować się do pracy z naszym API wystarczy, że wejdziesz na stronę (https://developers.pkobp.pl/documentation)[https://developers.pkobp.pl/documentation] i zapoznasz się z dokumentacją i swaggerem udostępnianymi przez PKO Bank Polski. Przydatna może być również dokumentacja standardu PolishAPI dostępna na stronie projektu https://polishapi.org/. Pamiętaj, że dostęp produkcyjny do API PKO BP zarezerwowany jest dla podmiotów ze stosownymi uprawnieniami wydanymi przez organ nadzorczy. W przypadku sandboxa wymagamy przedstawienia przynajmniej zaświadczenia o złożeniu wniosku o nadanie takich uprawnień.

Nieustannie staramy się ulepszać nasze usługi, dlatego będziemy wdzięczni, jeżeli po napotkaniu błędu lub problemu prześlesz nam informację wraz z jego opisem, a postaramy się jak najszybciej odpowiedzieć. W tym celu zarejestruj konto na naszym Portalu, zaloguj się i skorzystaj z zakładki "Zgłoszenia".

Planujemy stale rozwijać i ulepszać nasz Portal oraz usługi API, dlatego jesteśmy otwarci na wszelkie propozycje zmian i usprawnień. Zachęcamy do wysyłania pomysłów. W tym celu zarejestruj lub zaloguj się na Portal i skorzystaj z zakładki "Zgłoszenia".

API PKO Banku Polskiego przeznaczone jest jedynie dla podmiotów z zezwoleniem KNF lub jej europejskiego odpowiednika. Obecnie nie przewidujemy możliwości obsługi rachunku za pośrednictwem API przez użytkowników niebędących instytucją płatniczą lub dostawcami AIS.

Aktualizacja certyfikatu QSEAL odbywa się poprzez skorzystanie z usługi /register. API PKO Banku Polskiego przewiduje obsługę wielu certyfikatów. Jeżeli nie uległo zmianie TPPID to wszystkie dotychczasowe zgody będą działać zarówno z nowym, jak i starym certyfikatem. Do nowego certyfikatu należy używać otrzymanego w odpowiedzi na rejestrację clientID. Do starego clientID nie ulega zmianie. Certyfikatu QWAC nie trzeba dodatkowo rejestrować. Zmiana danych organizacji, emaila kontaktowego lub redirect_url także odbywa się poprzez skorzystanie z usługi /register, a podane dane nadpisują wszystkie wcześniejsze.

Środowisko testowe w głównej mierze służy przetestowaniu prawidłowości budowania zapytań do API PKO Banku Polskiego. Poza ciągiem usług /authorize, /token i wywołanie usługi nie ma powiązania między pozostałymi usługami. Np. wykonanie usługi /domestic nie spowoduje pojawienie się tej transakcji przy wywołaniu usługi /getTransactionsDone.

Jeżeli jesteś przedstawicielem TPP prosimy zarejestruj się na Portalu Developera i uzupełnij dane swoje i swojej firmy w sekcji ustawień – na tej podstawie udostępnimy Ci na Portalu logotypy w sekcji plików do pobrania.

Klucz publiczny Banku znajdziesz po zalogowaniu się na Portalu Developera w sekcji Pliki do pobrania.

Interfejsy programowania aplikacji, tak zwane API, są metodą pozwalającą na dostęp do funkcji aplikacji sieciowych przez sieć (w tym Internet), z użyciem specjalnie przygotowanych komunikatów. Dyrektywa PSD2 wskazała API jako mechanizm dostępu do funkcji bankowości elektronicznej przez strony trzecie, tzw. TPP (patrz TPP).

OAuth 2.0 jest protokołem służącym autoryzacji działań klientów chcących uzyskać dostęp do chronionych zasobów, takich jak aplikacje sieciowe i API, przez osoby będące właścicielami (kontrolerami) tych zasobów, w sposób zapobiegający ujawnieniu danych uwierzytelniających stronie zwracającej się o dostęp.

Zgodnie z PSD2 pojawiają się nowe rodzaje podmiotów na rynku usług płatniczych. Obok banków, instytucji płatniczych, operatorów pocztowych, pojawili się dostawcy będący stroną trzecią, określani jako TPP (Third Party Provider), którzy mogą wykorzystać możliwość oferowania nowych usług budowanych w oparciu o PSD2, akty wykonawcze (w tym Regulacyjne Standardy Techniczne – RTS) i akty prawa krajowego.