Scraping nebo API? Rozdíl v bezpečnosti je obrovský

Sdílejte:
17. 7. 2018

Půl roku po začátku platnosti PSD2 a spuštění prvních bankovních API stále můžete narazit na firmy, které nabízejí přístup k bankovnímu účtu prostřednictvím screen scrapingu. To ale znamená, že jim musíte předat přístupové údaje svého účtu. Předat a věřit, že vaše data pečlivě uschovají a nezneužijí.

využití API a bezpečnost dat

Představte si, že jedete do ciziny a potřebujete hlídat poštovní schránku, protože má přijít důležitý dopis. Co dáte ochotnému sousedovi do ruky? Samotný klíček od schránky, nebo celý svazek klíčů, se kterým se dostane i do vašeho bytu a auta? Přesně ve stejné situaci se ocitnete, pokud budete hledat aplikaci, ve které chcete na jednom místě spravovat více bankovních účtů najednou. V současnosti totiž můžete narazit na dva způsoby zpřístupnění účtu třetí straně (= komukoli jinému, než jste vy a vaše banka):

1. API

Rozhraní, které poskytuje banka. S jeho pomocí může banka předávat externí aplikaci pouze ty informace, které povolíte. Třeba jenom aktuální zůstatek na účtu. Mimochodem, přes API komunikuje s bankami i Richee.

2. Screen scraping

Musíte odevzdat přístupové údaje, aplikace se místo vás přihlásí k účtu a automatizovaně si stáhne data. A vám nezbývá než doufat, že nic víc na vašem účtu dělat nebude. Předáním přihlašovacích údajů jste totiž poskytli přístup k všem službám, které vám banka poskytuje. Včetně zadávání plateb, objednávání a rušení služeb, pozměňování údajů…

Souhlasem se screen scrapingem navíc velmi pravděpodobně porušujete smlouvy, které jste uzavřeli s bankou. V ní je totiž téměř vždy uvedeno, že své přístupové údaje k mobilnímu a internetovému bankovnictví nesmíte nikomu předat. Jenže bez vašich údajů screen scraping fungovat nebude, a proto údaje odevzdat musíte. A tím třetí straně zpřístupníte vše, co vám banka v elektronickém bankovnictví nabízí.

V případě API se můžete opřít o jistoty poskytované směrnicí PSD2, podle které banka musí v otevřeném bankovnictví umožnit výběr více typů oprávnění pro přístup k účtu. Aplikaci tak můžete povolit např. jen sledování historie plateb, ale nikoli jejich zadávání. 

A co je nejdůležitější – připojení přes API znamená, že aplikace odpovídá přísným požadavkům banky. U scrapingu naopak banka nemá šanci zkontrolovat nic, protože aplikace se nepředstavuje jako aplikace, ale vydává se za vás.Až si budete vybírat službu pro správu svých účtů, předem se zeptejte, s jakou technologií pracuje. Pokud stejně jako Richee používá API, nemusíte se bát. Pokud přistupuje přes scraping, zapomeňte na ni. Je zbytečné riskovat, když máte na výběr bezpečnější řešení.

Sdílejte:
Témata:
Nepromeškejte žádnou důležitou zprávu

Přihlaste se k odběru novinek o aplikaci Richee

Odesláním tohoto formuláře souhlasíte s využitím zadaných osobních údajů pro kontaktování a zasílání novinek o webu a aplikaci Richee. Osobní údaje jsou zpracovávány v souladu s našimi zásadami.
Nepromeškejte žádnou důležitou zprávu

Přihlaste se k odběru novinek o aplikaci Richee

Odesláním tohoto formuláře souhlasíte s využitím zadaných osobních údajů pro kontaktování a zasílání novinek o webu a aplikaci Richee. Osobní údaje jsou zpracovávány v souladu s našimi zásadami.