В настоящее время NAB создала портфель из 1200 API как для внутреннего, так и для внешнего использования, с усиленным мониторингом, обернутым вокруг последнего, в частности, в попытке избежать потенциальных злоупотреблений.
Исполнительный директор по корпоративным технологиям Стив Дэй сказал на саммите FST Media Future of Financial Services summit, что API все больше питают “целую экосистему партнеров вокруг банков, которые могут предоставлять дополнительные услуги поверх основных банковских услуг.”
Многие внешние API-интерфейсы относятся к реализации NAB open banking и публикуются через портал разработчиков.
Дэй отметил, что клиенты банка могут разрешить сторонним веб-сайтам получать доступ к своим данным и анализировать их, чтобы лучше понять свои финансы и привычки тратить.
“Если вы готовы через все проверки предоставить свои данные о том, что у вас есть в вашей банковской среде, и вашу личную информацию, вы можете сделать ее доступной для целого ряда услуг либо для себя, либо для третьих лиц, которым вы доверяете управлять своими финансами от вашего имени”,-сказал он.
Однако все чаще NAB также создавала API-интерфейсы, позволяющие своим клиентам (или другим третьим сторонам) интегрировать свои среды непосредственно с NAB.
“Многие из [наших 1200] API связываются с нашими клиентами, чтобы обеспечить отличную интеграцию в их среду и действительно помочь затем оцифровать их среду таким образом, чтобы она интегрировалась с их банковскими услугами”, — сказал Дэй.
Другие API-интерфейсы позволяли сторонним разработчикам приложений и сайтов подключаться к службам NAB.
“Мы создали интерфейсы для таких вещей, как Xero, поэтому Xero теперь может взаимодействовать с нами напрямую. Мы построили интерфейсы для realestate.com.au чтобы люди, покупая дома, могли в режиме реального времени получать информацию о наших продуктах и услугах через эти API, а также о том, что они смогут одолжить и т. Д.”, — сказал Дэй.
“Мы создаем гораздо больше таких интерфейсов, чтобы не только обеспечить цифровые окна в наш бизнес, но и открыть его, чтобы позволить другим третьим сторонам предоставлять услуги.”
День заявил, что потенциальных пользователей API-интерфейса возможность для тестирования API НАБ в безопасных средах.
Он также сказал, что банк уделял особенно пристальное внимание безопасности и мониторингу использования своих API-интерфейсов, особенно после инцидента со злоупотреблением PayID look-up, который произошел с конкурирующей компанией Westpac в прошлом году.
Мошенники проводили тысячи автоматизированных поисков PayID в день в течение шести недель, прежде чем инцидент был обнаружен и закрыт.
Дэй сказал, что NAB уже сосредоточилась на безопасности и управлении в результате своего длительного и широкомасштабного перехода в облако.
Но он предположил, что инцидент с PayID усилил необходимость NAB следить за использованием своих собственных API.
“Очевидно, что выставлять АПИС без мониторинга было бы чрезвычайно опасно», — сказал Дэй.
“В начале статьи мы узнали об инциденте с PayID, когда API были выведены на рынок для PayID, и прежде чем вы это узнали, у вас были люди, которые пытались использовать их и собирать личную информацию о людях, просто угадывая номера мобильных телефонов, например.
“Мы установили много блоков, чтобы предотвратить подобные вещи, [и] много мониторинга, чтобы убедиться, что у нас нет сканирования наших API по неправильным причинам.
“Мы смотрим на уровни транзакций, смотрим на подозрительные действия — все это было встроено в систему мониторинга.”