| Версия | Дата | Автор | Комментарий |
|---|---|---|---|
| 1.2.1 | 23.10.2020 | Ассоциация ФинТех, Направление открытых API | Первая опубликованная версия документа |
| 2.0.0 | 01.08.2025 | Ассоциация ФинТех, Направление открытых API | Обновленная версия документа |
Настоящий стандарт разработан Ассоциацией развития финансовых технологий (Ассоциацией ФинТех) при участии Центрального банка Российской Федерации (Банка России).
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 19 декабря 2025 года № ОД-2887
«О введении в действие стандартов Банка России СТО БР «Открытые программные интерфейсы. Общие положения», СТО БР «Открытые программные интерфейсы. Глоссарий» и внесении изменения в пункт 1 приказа Банка России от 23 октября 2020 года № ОД-1725».
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Настоящий стандарт описывает общие принципы и подходы к построению и функционированию среды Открытых программных интерфейсов, ее компонентов и организации взаимодействия участников информационного обмена.
Настоящий стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями в среде Открытых программных интерфейсов, связанными с:
a. получением информации о финансовых организациях, их финансовых продуктах и инструментах;
b. получением информации о финансовых продуктах, счетах и других финансовых инструментах Пользователя, а также связанной с ними информацией;
c. инициацией действий, связанных с финансовыми продуктами, счетами и другими финансовыми инструментами Пользователя.
Настоящий стандарт предназначен для:
a. участников взаимодействия, осуществляющих обмен информацией о банковских счетах физических лиц, а также связанной с ними информацией;
b. инициаторов транзакционных операций (СПУ);
c. инициаторов действий с финансовыми продуктами Пользователя (СПУ);
d. участников обмена информацией о финансовых организациях, их финансовых продуктах и инструментах;
e. разработчиков информационного и программного обеспечения.
Положения настоящего стандарта носят рекомендательный характер и применяются совместно со следующими документами:
Взаимодействие между участниками информационного обмена подразумевает исполнение ими правил и требований к обмену электронными сообщениями, определенными в комплексе стандартов Открытых программных интерфейсов (далее – комплекс стандартов).
Комплекс стандартов, в том числе, определяет принципы обеспечения информационной безопасности, принципы передачи электронных сообщений, перечень связанных сервисов и их роль в среде Открытых программных интерфейсов.
Действующие документы комплекса стандартов публикуются на официальном сайте Центрального банка Российской Федерации в соответствующем разделе.
В данном разделе определяются основные архитектурные принципы среды Открытых программных интерфейсов. Каждый архитектурный принцип имеет индекс, указанный в фигурных скобках.
Архитектура среды Открытых программных интерфейсов соответствует концепции RESTful API. Данная концепция была выбрана на основании отзывов участников финансового рынка, а также с учетом международного опыта.
Применение концепции RESTful API позволяет обеспечить эффективность, гибкость и надежность при интеграциях информационных систем, а также прозрачность для разработчиков программного обеспечения.
Открытые программные интерфейсы реализуются таким образом, чтобы они не зависели от конкретной платежной схемы или внутренних технологических процессов отдельно взятых участников среды Открытых программных интерфейсов.
Комплекс стандартов реализован таким образом, чтобы он мог быть применен в разработке информационного и программного обеспечения на разных языках программирования и/или платформах.
Формат предоставления данных проектируется так, чтобы не зависеть от внутренней архитектуры информационных систем участников информационного обмена и отдельно взятых сообщений.
Открытые программные интерфейсы проектируются таким образом, чтобы в случае расширения их функционала, добавления новых методов, операций, свойств, участникам информационного обмена, применяющим стандарты, не было затруднительно реализовать изменения.
На физическом уровне при проектировании сообщений используется спецификация OpenAPI 3.0 в формате YAML.
Благодаря реализации данной спецификации описания сообщений разработчики информационного и программного обеспечения имеют доступ к точному описанию API, что повышает скорость разработки сервиса и его интеграции с другими системами.
Все элементы, составляющие прикладные стандарты (конечные точки, параметры, свойства ответа и т.д.), объявлены как «Обязательные», «Опциональные» или «Условные» (определяется в документах, описанных в пп. 5 п. 4.1).
Требования к версионированию нацелены на управление изменениями Открытых программных интерфейсов участников информационного обмена без нарушения работы существующих интеграций. В среде Открытых программных интерфейсов определены мажорная версия, минорная версия и патч-версия.
Сроки и порядок перехода на новые версии стандартов устанавливаются нормативными актами Банка России. Требования к переходу на новые версии распространяются на всех участников среды Открытых программных интерфейсов.
Основные правила версионирования включают:
Мажорные версии:
Определение: включают значительные изменения, которые могут быть несовместимы с предыдущими версиями.
Пример: Переход от версии 1.0 к 2.0.
Правила:
Минорные версии:
Определение: включают новые функции, которые совместимы с предыдущими версиями.
Пример: Переход от версии 1.0 к 1.1.
Правила:
Патч-версии:
Определение: включают исправления ошибок и улучшения безопасности, не влияющие на функциональность.
Пример: Переход от версии 1.0.0 к 1.0.1.
Правила:
Данный раздел описывает принципы проектирования пользовательского опыта в среде Открытых программных интерфейсов: безопасность, конфиденциальность и прозрачность. Каждый принцип имеет индекс в фигурных скобках.
Обмен данными Пользователя осуществляется доверенным и безопасным образом, обеспечивающим невозможность получения передаваемых данных третьими лицами без согласия Пользователя.
В случае прекращения действия согласия (его отзыв или окончание срока действия), передача данных Пользователя со стороны ПУ прекращается, обработка данных после прекращения действия согласия происходит в соответствии с действующим законодательством Российской Федерации (если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»).
Пользователь информируется о целях, сроках и типах передаваемых данных. Информирование Пользователя – своевременное, точное и достаточное для понимания целей и процесса передачи данных. В случае отказа от дальнейшего оказания услуги Пользователю предоставляется сервис по отзыву им согласий.
Такой подход позволяет повысить уровень доверия Пользователя к реализованному сервису.
Участники среды Открытых программных интерфейсов обеспечивают раскрытие минимального объема информации Пользователям, который включает помимо прочего следующую информацию:
Участник среды Открытых программных интерфейсов обеспечивает соответствие порядка раскрытия информации Пользователю следующим критериям:
Участник среды Открытых программных интерфейсов обеспечивает:
Обмен данными Пользователя между участниками информационного обмена происходит в соответствии с разработанным Банком России комплексом стандартов информационной безопасности.
Данные документы (пп. 3 п. 4.1) содержат набор требований, позволяющих митигировать риски инцидентов, связанных с получением доступа к данным Пользователя без его согласия третьими лицами.
Участники взаимодействия хранят и обрабатывают данные, указанные на этапе выдачи согласия, в соответствии с целью, указанной в выданном согласии, и действующим законодательством Российской Федерации.
После истечения срока действия согласия (или в случае его отзыва) участники взаимодействия прекращают обмен данными Пользователя. Переданные в рамках оказания услуги данные обрабатываются в соответствии с законодательством Российской Федерации (если иное не установлено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»).
Управление комплексом стандартов осуществляется Банком России совместно с Ассоциацией ФинТех.
Банк России совместно с Ассоциацией ФинТех взаимодействуют с федеральными органами исполнительной власти, профессиональными объединениями участников рынка, национальными и международными комитетами по стандартизации, центральными (национальными) банками государств-участников интеграционных объединений с участием Российской Федерации, Евразийской экономической комиссии, а также другими организациями с целью реализации функций поддержки и развития комплекса стандартов, а также их имплементации в среде Открытых программных интерфейсов.
Комплекс стандартов публикуется в общем доступе на сайте Банка России.
Изменение документов в составе комплекса стандартов предусмотрено в целях соответствия требованиям законодательства и/или в целях совершенствования пользовательского опыта и/или процессов взаимодействия между участниками среды Открытых программных интерфейсов.
Для внесения изменений в комплекс стандартов участникам среды необходимо направить в адрес Ассоциации ФинТех посредством электронной почты и/или почтовой связи предложения с описанием состава предлагаемых изменений и их цели (далее соответственно – инициатор, предложения).
После получения указанных предложений Ассоциация ФинТех рассматривает их и выносит решения о внесении предложений на рассмотрение Экспертного совета Ассоциации ФинТех по внедрению Открытых API (далее – Экспертный совет) и передаче регулирующим органам (при необходимости) либо об отказе во внесении предложений на рассмотрение Экспертного совета и передаче регулирующим органам (при необходимости) (далее – отказ во внесении).
Экспертный совет по результатам рассмотрения предложений может принять решения об их направлении в Банк России для рассмотрения и принятия приказа Банка России, а также последующей публикации документа на официальном сайте Банка России либо об отказе в их направлении в Банк России, а также последующей публикации документа на официальном сайте Банка России (далее – отказ в направлении предложений в Банк России).
Основаниями для принятия решения об отказе во внесении, решения об отказе в направлении предложений в Банк России является несоответствие указанных предложений законодательству Российской Федерации, а также в связи с несоответствием требованиям комплекса стандартов информационной безопасности и/или иным требованиям информационной безопасности. Инициатору направляется информация об отказе во внесении, об отказе в направлении предложений в Банк России.
Порядок и сроки вступления в силу изменений комплекса стандартов определяются приказом Банка России.
Для построения доверенной среды Открытых программных интерфейсов и безопасного обмена данными Пользователя с его согласия обмен данными осуществляется с использованием следующих сервисов:
В среде Открытых программных интерфейсов определены следующие участники взаимодействия:
ПУ публикует Открытые программные интерфейсы, а СПУ использует их для предоставления Пользователю сервисов, связанных с обменом сообщениями, описанными в пп. 1 п. 3.
Один и тот же участник взаимодействия может одновременно иметь несколько ролей в рамках среды Открытых программных интерфейсов.
До начала информационного обмена между ПУ и СПУ Пользователь дает согласие на передачу его данных. Для Пользователя ФЛ процесс авторизации согласия выполняется самим Пользователем ФЛ, в то время как для Пользователя ЮЛ управление согласием может происходить уполномоченным лицом с соответствующими правами.
Согласие дается Пользователем для осуществления обмена данными и поручениями между ПУ и СПУ на срок, определенный Пользователем в процессе выдачи согласия. Срок действия согласия может быть определен ПУ или СПУ самостоятельно, при этом пользователь информируется об этом в процессе выдачи согласия. После предоставления такого согласия взаимодействие происходит без непосредственного участия Пользователя, СПУ запрашивает информацию у ПУ, состав передаваемых сведений зависит от предоставленных СПУ Пользователем разрешений.
ПУ предоставляет Пользователю интуитивно понятный интерфейс для управления согласием на передачу данных (или иное действие, определенное целью согласия).
СПУ предоставляет Пользователю интуитивно понятный интерфейс для инициации выдачи согласия с последующей переадресацией Пользователя в контур ПУ для обогащения согласия необходимыми данными и подтверждением выдачи согласия.