Ngân hàng có bắt buộc phải công khai thông tin Open API trên trang thông tin điện tử không?

Nội dung chính

• Open API được hiểu như thế nào?
• Ngân hàng có bắt buộc phải công khai thông tin Open API trên trang thông tin điện tử không?
• Trách nhiệm của Ngân hàng trong việc triển khai giao diện lập trình ứng dụng mở (Open API) là gì?

Open API được hiểu như thế nào?

Căn cứ tại khoản 2 Điều 3 Thông tư 64/2024/TT-NHNN quy định về khái niệm Open API như sau:

Điều 3. Giải thích từ ngữ

Trong Thông tư này, các thuật ngữ dưới đây được hiểu như sau:

1. Giao diện lập trình ứng dụng (tên tiếng anh là: Application Programming Interface, sau đây viết tắt là API) là giao diện cho phép giao tiếp giữa các ứng dụng phần mềm trong một tổ chức hoặc giữa các tổ chức với nhau.

2. Giao diện lập trình ứng dụng mở trong ngành Ngân hàng (Open API) là tập hợp các API được Ngân hàng cung cấp cho bên thứ ba trực tiếp kết nối, xử lý dữ liệu để cung ứng dịch vụ cho khách hàng. Open API gồm: Open API cơ bản và Open API khác.

3. Hệ thống thử nghiệm Open API là hệ thống thông tin của Ngân hàng cung cấp cho bên thứ ba để thử nghiệm các Open API trước khi triển khai chính thức.

[...]

Như vậy, Open API (được hiểu giao diện lập trình ứng dụng mở trong ngành Ngân hàng) là tập hợp các API được Ngân hàng cung cấp cho bên thứ ba trực tiếp kết nối, xử lý dữ liệu để cung ứng dịch vụ cho khách hàng. Open API gồm: Open API cơ bản và Open API khác.

Ngân hàng có bắt buộc phải công khai thông tin Open API trên trang thông tin điện tử không? (Hình từ Internet)

Ngân hàng có bắt buộc phải công khai thông tin Open API trên trang thông tin điện tử không?

Căn cứ theo Điều 9 Thông tư 64/2024/TT-NHNN quy định về công khai thông tin Open API như sau:

Điều 9. Công khai thông tin Open API

Trước khi chính thức kết nối, xử lý dữ liệu với bên thứ ba, Ngân hàng phải công khai thông tin Open API trên trang thông tin điện tử chính thức của Ngân hàng bao gồm tối thiểu các nội dung sau:

1. Thông tin về Hệ thống thử nghiệm Open API.

2. Danh mục các open API Ngân hàng triển khai.

Như vậy, trước khi chính thức kết nối, xử lý dữ liệu với bên thứ ba, Ngân hàng phải công khai thông tin Open API trên trang thông tin điện tử chính thức của Ngân hàng bao gồm tối thiểu các nội dung sau:

- Thông tin về Hệ thống thử nghiệm Open API.

- Danh mục các open API Ngân hàng triển khai.

Trách nhiệm của Ngân hàng trong việc triển khai giao diện lập trình ứng dụng mở (Open API) là gì?

Căn cứ theo Điều 11 Thông tư 64/2024/TT-NHNN quy định về trách nhiệm của Ngân hàng trong việc triển khai giao diện lập trình ứng dụng mở (Open API) như sau:

- Hoàn thiện cơ sở hạ tầng hệ thống thông tin phục vụ triển khai Open API để sẵn sàng kết nối, xử lý dữ liệu.

- Xây dựng và hoàn thiện các tài liệu hướng dẫn kết nối, xử lý dữ liệu.

- Bảo đảm chất lượng dữ liệu trong quá trình triển khai Open API. Thông báo kịp thời cho bên thứ ba khi có sai lệch dữ liệu và phối hợp với bên thứ ba đính chính, hiệu chỉnh kịp thời.

- Bảo đảm an toàn, an ninh mạng cho hệ thống thông tin triển khai Open API, đáp ứng tối thiểu cấp độ 3 theo quy định của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và tuân thủ quy định của Ngân hàng Nhà nước Việt Nam về an toàn hệ thống thông tin trong hoạt động ngân hàng.

- Cung cấp công cụ hoặc chức năng cho phép khách hàng thực hiện:

+ Tra cứu các dữ liệu mà khách hàng đồng ý cho bên thứ ba xử lý;

+ Rút lại sự đồng ý của khách hàng theo quy định của pháp luật.

- Thiết lập thời hạn được thực hiện truy vấn thông tin của khách hàng sau khi được khách hàng đồng ý không quá 180 ngày, trừ trường hợp có thỏa thuận khác giữa khách hàng với Ngân hàng.

- Cung cấp thông tin tình hình triển khai Open API cho Ngân hàng Nhà nước Việt Nam (thông qua Cục Công nghệ thông tin) khi được yêu cầu.

- Phối hợp với bên thứ ba theo thỏa thuận và với cơ quan có thẩm quyền để giải quyết vướng mắc, tranh chấp trong quá trình triển khai Open API.

- Có giải pháp công nghệ giới hạn số lần truy vấn tự động thông tin của khách hàng từ bên thứ ba.

- Chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý bên thứ ba.

- Thực hiện cập nhật hoặc thu hồi quyền truy cập dữ liệu của bên thứ ba khi có thay đổi theo hợp đồng.

- Giám sát hoạt động truy cập:

+ Có hệ thống giám sát để phát hiện và ngăn chặn các hành vi truy cập bất thường hoặc trái phép từ bên thứ ba;

+ Ghi nhật ký toàn bộ việc sử dụng Open API từ bên thứ ba tối thiểu trong vòng 03 tháng và sao lưu tối thiểu 01 năm để phục vụ kiểm tra khi cần thiết.

Lưu ý: Thông tư 64/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/03/2025