2. Загальна інформація про згоду

Редакція OpenBanking Ukraine

Згода PSU у відкритому банкінгу використовується для надання TPP доступу до рахунку через базові або комерційні API та визначає рамки і термін такого доступу.

API згоди

У відкритому банкінгу передбачене використання згоди PSU на надання TPP доступу до рахунку через базові або комерційні API. Згода може бути разовою або множинною. Згода може містити один або декілька рахунків одночасно (варіант реалізації, який підтримує ASPSP, зазначається на порталі).

За разовою згодою TPP може отримати доступ до рахунку тільки один раз протягом терміну дії згоди. Множинна згода передбачає багаторазовий доступ до рахунку для отримання інформації по рахунку протягом терміну дії згоди.

При наданні згоди на доступ до рахунків використовується IBAN, який користувач повинен вказати в застосунку TPP.

Явна і неявна згоди

Для надання AISP послуги PSU з надання інформації по рахунку PSU має надати явну згоду ASPSP на отримання AISP інформації по рахунку PSU у ASPSP (відповідно до розділу 8 цього документу).

Згода PSU на виконання платіжної операції надається ним неявно при авторизації ресурсу платежу, оскільки надання платіжних даних і пов’язаних з авторизацією даних опрацьовуються одночасно за один сеанс. У цьому випадку не потрібен конкретний об’єкт згоди та пов’язаний токен для подальшого доступу.

Порядок надання неявної згоди на виконання платіжної операції описаний у специфікації API ініціювання платіжної операції.

Категорії згоди на явну згоду

Згода укладається безпосередньо між ASPSP і PSU, але технічно ініціюється через TPP.

API згоди пропонуватиме різні path-параметри для підтримки різних категорій згоди. У цьому документі описана категорія згоди — account-access.

Токен згоди

Після завершення успішного процесу авторизації в API згоди API client використовує ідентифікатор ресурсу згоди — consentId як токен для API відкритого банкінгу. API client повинен зберігати токен у своїй системі протягом усього терміну дії цього токена згоди.

Також зверніть увагу, що залежно від процесу авторизації ASPSP може додатково пропонувати токен носія (bearer token) відповідно до стандарту OAuth2, який також потрібно використовувати API client при доступі до відповідних API. Якщо API client звертається до API без відповідного токена згоди, то ASPSP відхилить запити.