الخدمات المصرفية المفتوحة هي قدرة طرف ثالث على التكنولوجيا المالية للوصول إلى معلومات الحساب وبدء الدفعات بموافقة عميل البنك. تعمل بالبنية التحتية لـ BKM و TRSPI في تركيا؛ مطلوب ترخيص TPP (موفر الطرف الثالث).
3 أدوار رئيسية
- AISP (موفر خدمة معلومات الحساب): قراءة معلومات الحساب؛ تطبيقات التمويل الشخصي.
- PISP (مقدم خدمة بدء الدفع): بدء الدفع؛ التجارة الإلكترونية.
- CBPII (جهة إصدار وسيلة الدفع القائمة على البطاقة): إصدار منتج البطاقة.
ترخيص TPP + شهادة
<يكون>المتطلبات الفنية
- OAuth 2.0 + اتصال OpenID.
- ملف تعريف FAPI (واجهة برمجة التطبيقات للصف المالي).
- توقيع mTLS + JWS.
- PSD2 SCA (مصادقة قوية للعملاء): MFA + الارتباط الديناميكي.
هل مشاركة واجهة برمجة تطبيقات البنك إلزامية؟
لا توجد مشاركة إلزامية على مستوى PSD2 للاتحاد الأوروبي في تركيا حتى الآن. تعتبر خدمات BKM مثل "Paribu Open Banking" اختيارية؛ قرار مشاركة البنك.
فترة الاحتفاظ بالبيانات؟
"محدد الغرض" في إطار عمل KVKK. الحد الأقصى لمدة 90 يومًا لـ AIS (ما لم يتم تجديد موافقة المستخدم).
هل الامتثال لـ PSD2 ضروري لتركيا؟
إذا كنت تبيع منتجاتك إلى سوق الاتحاد الأوروبي، فنعم. BRSA + TRSPI كافية للسوق المحلية التركية.
كيف تتم إدارة موافقة المستخدم؟
موافقة مفتوحة وقابلة للإلغاء ومفصلة (قائمة على الحساب). متوافق مع KVKK m.5 + m.11. اعرض البيانات التي تم الوصول إليها والمدة في لوحة التأكيد في واجهة المستخدم.
من المسؤول في حالة تعطل واجهة API الخاصة بالبنك؟
يتم تحديد ذلك في اتفاقية مستوى الخدمة. إذا كان وقت التوقف السنوي أكبر من 1%، فقد تنشأ مسؤولية تعويض العملاء على جانب التكنولوجيا المالية؛ يوصى بالتكامل مع البنوك المتعددة كنسخة احتياطية.
التشريعات ذات الصلة
- القانون رقم 6493 — الدفع والنقود الإلكترونية؛ الترخيص، تصريح التشغيل.
- لوائح BRSA — إذن مؤسسة الدفع / EML، رأس المال، إعداد التقارير.
- 5549 SK - MASAK؛ KYC، STR، النشاط المنتظم.
- KVKK + اللائحة العامة لحماية البيانات (GDPR) — أمن البيانات، والنقل عبر الحدود.
- PCI-DSS — تخزين البطاقة؛ الامتثال لمستوى PCI 1-4.