Настоящий стандарт описывает общие принципы и подходы к построению и функционированию среды Открытых программных интерфейсов, её компонентов и организации взаимодействия участников информационного обмена.
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 2026 года № «О введении в действие………….».
Взаимодействие между участниками информационного обмена подразумевает исполнение ими правил и требований к обмену электронными сообщениями, определенными в комплексе стандартов Открытых программных интерфейсов (далее – комплекс стандартов).
Комплекс стандартов, в том числе, определяет принципы обеспечения информационной безопасности, принципы передачи электронных сообщений, перечень связанных сервисов и их роль в среде Открытых программных интерфейсов.
Все актуальные документы комплекса стандартов публикуются на официальном сайте Центрального банка Российской Федерации в соответствующем разделе.
В данном разделе определяются основные архитектурные принципы среды Открытых программных интерфейсов. Каждый архитектурный принцип в данном разделе имеет индекс, указанный в фигурных скобках.
Архитектура среды Открытых программных интерфейсов соответствует концепции RESTful API. Данная концепция была выбрана на основании отзывов участников финансового рынка, а также с учетом международного опыта.
Применение концепции RESTful API позволяет обеспечить эффективность, гибкость и надежность при интеграциях информационных систем, а также прозрачность для разработчиков программного обеспечения.
Открытые программные интерфейсы должны быть реализованы таким образом, чтобы они не зависели от конкретной платежной схемы или внутренних технологических процессов отдельно взятых участников среды Открытых программных интерфейсов.
Комплекс стандартов реализован таким образом, чтобы он мог быть применен в разработке информационного и программного обеспечения на разных языках программирования и/или платформах.
Формат предоставления данных проектируется так, чтобы не зависеть от внутренней архитектуры информационных систем участников информационного обмена и отдельно взятых сообщений.
Открытые программные интерфейсы проектируется таким образом, чтобы в случае расширения их функционала, добавления новых методов, операций, свойств, участникам информационного обмена, применяющим стандарты, не было затруднительно реализовать изменения.
На физическом уровне при проектировании сообщений используется спецификация OpenAPI 3.0 в формате YAML.
Благодаря реализации данной спецификации описания сообщений разработчики информационного и программного обеспечения имеют доступ к точному описанию API, что повышает скорость разработки сервиса и его интеграции с другими системами.
Все элементы, составляющие прикладные стандарты (конечные точки, параметры, свойства ответа и так далее), должны быть явно объявлены, как «Обязательные», «Опциональные» или «Условные» (определяется в документах, описанных в пп.5 п. 4.1).
Требования к версионированию нацелены на управление изменениями и обновлениями Открытых программных интерфейсов участников информационного обмена без нарушения работы существующих интеграций. В среде Открытых программных интерфейсов к соблюдению определены мажорная версия, минорная версия и патч-версия.
Сроки и порядок перехода на новые версии стандартов устанавливаются Нормативными актами Банка России. Требования к переходу на новые версии распространяются на всех участников среды Открытых программных интерфейсов.
Основные правила версионирования включают:
Мажорные версии:
Определение: включают значительные изменения, которые могут быть несовместимы с предыдущими версиями.
Пример: Переход от версии 1.0 к 2.0.
Правила:
Минорные версии:
Определение: включают новые функции, которые совместимы с предыдущими версиями.
Пример: Переход от версии 1.0 к 1.1.
Правила:
Патч-версии:
Определение: включают исправления ошибок и улучшения безопасности, не влияющие на функциональность.
Пример: Переход от версии 1.0.0 к 1.0.1.
Правила:
Данный раздел описывает принципы проектирования пользовательского опыта в среде Открытых программных интерфейсов: безопасность, конфиденциальность и прозрачность. Каждый принцип в данном разделе имеет индекс, указанный в фигурных скобках.
Обмен данными Пользователя должен осуществляться доверенным и безопасным образом, гарантирующим невозможность получения передаваемых данных третьими лицами без согласия Пользователя.
В случае прекращения действия согласия (его отзыв или конца срока действия), передача данных Пользователя со стороны ПУ должна прекратиться, Обработка, хранение, удаление и обезличивание данных после прекращения действия согласия происходит в соответствии с действующим законодательством Российской Федерации (если иное не прописано в условиях действующего договора на оказание услуги и/или на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Понятие согласие Пользователя в среде Открытых программных интерфейсов описано в п.5.3. данного документа.
Пользователь должен быть проинформирован о целях, сроках и типах передаваемых данных. Информирование Пользователя должно быть своевременным, точным и достаточным для понимания целей и процесса передачи данных. В случае отказа от дальнейшего оказания услуги Пользователю должен быть предоставлен сервис по отзыву данных им согласий.
Такой подход позволяет повысить уровень доверия Пользователя к реализованному сервису.
Участники среды Открытых программных интерфейсов обеспечивают раскрытие минимального объема информации Пользователям, который включает помимо прочего следующую информацию:
Участник среды Открытых программных интерфейсов обеспечивает соответствие порядка раскрытия информации Пользователю следующим критериям:
Участник среды Открытых программных интерфейсов обеспечивает:
Обмен сообщениями между участниками информационного обмена происходит в соответствии с разработанным Банком России комплексом стандартов информационной безопасности.
Данные документы (пп. 3 п. 4.1) содержат набор требований, позволяющих митигировать риски инцидентов, связанных с получением доступа к данным Пользователя без его согласия третьими лицами.
Участники взаимодействия должны хранить и обрабатывать данные, указанные на этапе выдачи согласия, в соответствии с целью, указанной в выданном согласии, и действующим законодательством Российской Федерации.
После истечения срока действия согласия (или в случае его отзыва) участники взаимодействия должны прекратить передачу данных. Переданные в рамках оказания услуги данные обрабатываются в соответствии с федеральными законами Российской Федерации (если иное не прописано в условиях действующего договора на оказание услуги и/или на основании части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Управление комплексом стандартов Открытых программных интерфейсов осуществляется Банком России совместно с АФТ.
Банк России совместно с АФТ взаимодействуют с федеральными органами исполнительной власти Российской Федерации, профессиональными объединениями участников рынка, национальными и международными комитетами по стандартизации, центральными (национальными) банками государств-участников интеграционных объединений с участием Российской Федерации, Евразийской экономической комиссии, а также другими организациями с целью реализации функций поддержки и развития комплекса стандартов Открытых программных интерфейсов, а также их имплементации в среде Открытых программных интерфейсов.
Комплекс стандартов Открытых программных интерфейсов публикуется в общем доступе на сайте Банка России.
Изменение документов в составе комплекса стандартов Открытых программных интерфейсов предусмотрено в целях соблюдения требований законодательства и/или в целях совершенствования пользовательского опыта и/или процессов взаимодействия между участниками среды Открытых программных интерфейсов.
Для внесения изменений в ранее утвержденные стандарты участникам среды необходимо направить запрос в адрес АФТ посредством электронной почты и/или Почты России. В запросе необходимо описать состав необходимых изменений и цель внесения изменений.
АФТ рассматривает данное предложение и, в случае целесообразности указанных изменений, выносит на рассмотрение Экспертному совету АФТ по внедрению Открытых API (далее – Экспертный совет АФТ) и Банку России и/или другим регулирующим органам (при необходимости).
Отказ в рассмотрении изменений может быть вынесен в случае невозможности реализации в связи с несоблюдением текущего законодательства и/или иных нормативных актов Банка России, а также в случае несоблюдения требований комплекса стандартов информационной безопасности и/или иных требований информационной безопасности. Инициатору запроса направляется информация об отказе во внесении изменения.
В случае принятия положительного решения, изменения вносятся АФТ в пакет документов комплекса стандартов и выносятся на согласование Экспертного совета АФТ. После согласования документ направляется в Банк России. Банк России, в случае принятия положительного решения, публикует обновленную версию стандарта на сайте Банка России.
В случае принятия отрицательного решения по итогу согласования на Экспертном совете АФТ, инициатору запроса направляется информация об отказе во внесении изменения.
Порядок и сроки вступления в силу стандартов комплекса стандартов определяется приказом Банка России.
Для построения доверенной среды Открытых программных интерфейсов и безопасного обмена данными Пользователя с его согласия обмен данными осуществляется с использованием следующих сервисов:
В среде Открытых программных интерфейсов определены следующие участники взаимодействия:
ПУ публикует Открытые программные интерфейсы, а СПУ использует их для предоставления Пользователю сервисов, связанных с обменом сообщениями, описанными в пп. 1 п. 3.
Один и тот же участник взаимодействия может одновременно иметь несколько ролей в рамках среды Открытых программных интерфейсов.
До начала информационного обмена между ПУ и СПУ Пользователь должен дать согласие на передачу и обработку данных. Для Пользователя ФЛ процесс авторизации согласия выполняется самим Пользователем ФЛ, в то время как для Пользователя ЮЛ управление согласием может происходить уполномоченным лицом с соответствующими правами.
Согласие дается Пользователем для осуществления обмена данными и поручениями между ПУ и СПУ на срок, определенный Пользователем в процессе выдачи согласия. Срок действия согласия может быть определен ПУ или СПУ самостоятельно, при этом пользователь должен быть проинформирован об этом в процессе выдачи согласия. После предоставления такого согласия взаимодействие происходит без непосредственного участия Пользователя, СПУ запрашивает информацию у ПУ, состав передаваемых сведений зависит от предоставленных СПУ Пользователем разрешений.
ПУ должен предоставить Пользователю интуитивно понятный интерфейс для управления согласием на передачу данных (или иное действие, определенное целью согласия).
СПУ должен предоставить Пользователю интуитивно понятный интерфейс для инициации выдачи согласия с последующей переадресацией Пользователя в контур ПУ для обогащения согласия необходимыми данными и подтверждением выдачи согласия.