Kiến trúc API mở ngân hàng là gì?

Open API Architecture for Banking Công nghệ & Số hóa ~7 phút đọc

Kiến trúc API mở ngân hàng là gì?

Kiến trúc API mở ngân hàng (Open API Architecture for Banking) là mô hình kiến trúc công nghệ cho phép các ngân hàng mở các giao diện lập trình ứng dụng (API - Application Programming Interface) để đối tác bên thứ ba có thể truy cập, tích hợp và sử dụng dữ liệu cũng như dịch vụ ngân hàng một cách có kiểm soát. Đây được xem là nền tảng công nghệ cốt lõi cho xu hướng ngân hàng mở (Open Banking), giúp tạo ra hệ sinh thái tài chính số kết nối giữa ngân hàng và các đối tác công nghệ. Kiến trúc này định nghĩa cách thức các hệ thống ngân hàng expose (phô bày) dữ liệu và chức năng của mình thông qua các endpoint API chuẩn hóa, đồng thời thiết lập các quy tắc về bảo mật, phân quyền và giám sát truy cập.

Tại sao Kiến trúc API mở ngân hàng quan trọng trong ngân hàng?

  • Thúc đẩy đổi mới sáng tạo: Kiến trúc API mở cho phép các công ty fintech và đối tác công nghệ xây dựng ứng dụng tài chính mới trên nền tảng hạ tầng ngân hàng, từ đó mở rộng hệ sinh thái dịch vụ mà ngân hàng không cần đầu tư phát triển toàn bộ.
  • Nâng cao trải nghiệm khách hàng: Khách hàng có thể truy cập đồng thời thông tin tài khoản từ nhiều ngân hàng trên một ứng dụng duy nhất, thực hiện thanh toán liền mạch và sử dụng các dịch vụ tài chính tích hợp mà không cần rời khỏi ứng dụng mình yêu thích.
  • Tạo nguồn thu mới cho ngân hàng: Ngân hàng có thể tạo doanh thu từ việc cung cấp API cho đối tác theo mô hình định giá theo giao dịch (per-transaction pricing) hoặc gói subscription hàng tháng, ví dụ với mức phí từ 0,01 USD đến 0,50 USD mỗi giao dịch tùy loại dịch vụ.
  • Đáp ứng yêu cầu pháp lý: Nhiều quốc gia và khu vực đã ban hành quy định bắt buộc ngân hàng phải mở API, như PSD2 tại Châu Âu, do đó kiến trúc API mở trở thành yêu cầu tuân thủ (compliance requirement) thay vì tùy chọn.

Cách hoạt động của Kiến trúc API mở ngân hàng

Nguyên lý hoạt động cơ bản

Kiến trúc API mở ngân hàng hoạt động theo mô hình Client-Server, trong đó:

  1. Ngân hàng đóng vai trò Server (Nhà cung cấp API): Xây dựng và vận hành hệ thống API Gateway tập trung, công bố các bộ API chuẩn hóa theo phân loại:

    • API công khai (Public API): Dữ liệu và dịch vụ ít nhạy cảm như tỷ giá, lãi suất, vị trí ATM
    • API đối tác (Partner API): Dịch vụ thanh toán, chuyển tiền với giới hạn truy cập
    • API riêng (Private API): Các chức năng nội bộ không mở ra bên ngoài
  2. Ứng dụng bên thứ ba đóng vai trò Client (Người tiêu dùng API): Đăng ký, xác thực và gửi yêu cầu truy cập thông qua các lời gọi API được ủy quyền.

Quy trình xác thực và ủy quyền

Hệ thống bảo mật của API mở ngân hàng sử dụng giao thức OAuth 2.0 với các bước chính:

Bước 1: Client đăng ký ứng dụng và nhận Client ID, Client Secret
Bước 2: Người dùng ủy quyền cho ứng dụng bên thứ ba truy cập tài khoản
Bước 3: Ngân hàng cấp Access Token (thời hạn ngắn, thường 15-60 phút)
Bước 4: Client sử dụng Access Token để gọi API
Bước 5: API Gateway xác thực token và kiểm tra phạm vi quyền truy cập
Bước 6: Trả về dữ liệu yêu cầu hoặc mã lỗi tương ứng

Các thành phần kỹ thuật quan trọng

Thành phần Chức năng Tiêu chuẩn áp dụng
API Gateway Quản lý truy cập, rate limiting, giám sát RESTful API, GraphQL
OAuth 2.0 Server Xác thực và ủy quyền RFC 6749
OpenID Connect Xác thực danh tính người dùng OpenID Foundation
Mã hóa truyền dẫn Bảo vệ dữ liệu khi truyền tải TLS 1.2/1.3
API Registry Danh mục API công bố và tài liệu hướng dẫn OpenAPI Specification 3.0

Ví dụ thực tế

Ví dụ 1: Tích hợp thanh toán trên sàn thương mại điện tử

Khách hàng B mua sản phẩm trị giá 2.500.000 VNĐ trên sàn thương mại điện tử sử dụng ví điện tử tích hợp thanh toán ngân hàng. Quy trình diễn ra như sau:

  1. Sàn TMĐT gọi API thanh toán của Ngân hàng A với thông số: amount=2.500.000, currency=VND
  2. Ngân hàng A xác thực Access Token của sàn TMĐT
  3. Ngân hàng A trừ tiền trong tài khoản của Khách hàng B sau khi xác nhận đủ số dư
  4. Ngân hàng A trả về mã giao dịch txn_id=20240115ABC123 với trạng thái thành công
  5. Sàn TMĐT hiển thị "Thanh toán thành công" cho Khách hàng B

Toàn bộ quá trình diễn ra trong vòng dưới 3 giây với phí giao dịch khoảng 1.100 VNĐ (tương đương 0,044% giá trị giao dịch).

Ví dụ 2:聚合支付 (Agile Payment) cho chuỗi bán lẻ

Công ty C vận hành chuỗi 500 cửa hàng bán lẻ cần tích hợp thanh toán từ nhiều ngân hàng và ví điện tử khác nhau. Thay vì ký hợp đồng riêng lẻ với từng ngân hàng, công ty C sử dụng nền tảng Agile Payment tích hợp API mở từ 5 ngân hàng khác nhau. Mỗi ngày, hệ thống xử lý trung bình 25.000 giao dịch với tổng giá trị 8,5 tỷ VNĐ, tự động chọn kênh thanh toán tối ưu dựa trên phí và tỷ lệ thành công thời gian thực.

Phân biệt với thuật ngữ liên quan

Tiêu chí API riêng (Private API) API đối tác (Partner API) API công khai (Public API)
Phạm vi truy cập Chỉ nội bộ ngân hàng Đối tác được chọn lọc Tất cả developer đăng ký
Quy trình phê duyệt Không cần Hợp đồng đối tác, thẩm định Đăng ký online, duyệt tự động
Mức độ dữ liệu Toàn bộ hệ thống Giới hạn theo thỏa thuận Dữ liệu công khai, phi nhạy cảm
Bảo mật Mạng nội bộ VPN, mã hóa riêng OAuth 2.0, TLS bắt buộc
Ví dụ API kết nối core banking API thanh toán cho fintech API tỷ giá, lãi suất công bố

Câu hỏi thường gặp trong đề thi

  1. Giao thức nào được sử dụng phổ biến nhất để xác thực và ủy quyền truy cập API trong kiến trúc ngân hàng mở?

    A. SAML 2.0
    B. OAuth 2.0
    C. Kerberos
    D. LDAP

  2. Theo kiến trúc API mở ngân hàng, thành phần nào đóng vai trò trung tâm trong việc quản lý, giám sát và kiểm soát tất cả các yêu cầu truy cập từ bên thứ ba?

    A. Database Server
    B. API Gateway
    C. Load Balancer
    D. Firewall

  3. Loại API nào cho phép đối tác bên thứ ba truy cập dữ liệu lãi suất và tỷ giá công bố của ngân hàng mà không cần xác thực người dùng cá nhân?

    A. Private API
    B. Partner API
    C. Public API
    D. Internal API

Tổng kết

Kiến trúc API mở ngân hàng là nền tảng công nghệ không thể thiếu trong quá trình chuyển đổi số của ngành ngân hàng Việt Nam, cho phép kết nối an toàn giữa hệ thống ngân hàng và hệ sinh thái fintech rộng lớn. Nắm vững các khái niệm cốt lõi như OAuth 2.0, RESTful API, phân biệt ba loại API và hiểu quy trình xác thực ủy quyền là yêu cầu bắt buộc đối với ứng viên thi tuyển dụng ngân hàng. Để chuẩn bị tốt cho kỳ thi, thí sinh nên thực hành với các câu hỏi trắc nghiệm và tìm hiểu thêm về khung pháp lý Open Banking đang được Ngân hàng Nhà nước Việt Nam xây dựng trong thời gian tới.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8