Dankzij API’s is compliance snel en eenvoudig een feit

Share this post:

Geschreven door IBM op basis van een interview met Georges Berscheid

Finologee stelt Europese banken en verzekeraars in staat om snel te voldoen aan huidige en toekomstige wet- en regelgeving. Software en API’s vormen daarbij een uitbreiding van de legacy backend-systemen bij de klant. Medeoprichter Georges Berscheid is als CTO verantwoordelijk voor IT, operatie en dienstverlening van Finologee. Waar hij met het Luxemburgse bedrijf de regulatory compliance van financiële instellingen oplost, is IBM de enabler van de API-propositie van Finologee in de markt.

De businessuitdaging

Finologee opereert op het terrein van fintech en regtech, oftewel financial en regulatory technology. “We lossen vooral vraagstukken op rond wet- en regelgeving”, vertelt Georges Berscheid, die recent werd uitgeroepen tot Tech Leader van Luxemburg. “Met onze off the shelf technologie rond payments, open banking en ‘know your customer’ (KYC) richten we ons vooral op banken en verzekeringsmaatschappijen.”

Voorafgaand aan de oprichting van Finologee waren Georges Berscheid en zijn collega’s met het product Digicash verantwoordelijk voor de mobiele betalingen in Luxemburg. “We waren technisch verbonden met de vijf grote retailbanken, die ons in staat stelden om via proprietary API’s betalingen te doen. In enkele gevallen konden we ook account-informatie benaderen.”

In 2016 verscheen de eerste draft van de Europese PSD2-regelgeving, die alle banken verplicht hun gegevens via API’s beschikbaar te stellen aan derde partijen. Op basis hiervan kunnen ook andere bedrijven specifieke diensten aan de klanten van deze banken leveren.

“We waren destijds als Digicash in een goede positie om onze API’s uit te breiden en compatible te maken met de standaarden van de regulator. Maar de invoering van PSD2 werd om diverse redenen vertraagd. In 2017 is Digicash verkocht aan het Belgisch-Nederlandse Payconiq. Als oprichters van Digicash zijn we toen Finologee begonnen.”

Ontsluiting via API’s

Het pincipe van PSD2 en het principe van open banking lijkt misschien eenvoudig, maar dat is het volgens de CTO niet. “De retailbanken hadden hier wel enige ervaring mee. Die moesten hun klanten al langer online toegang geven tot hun gegevens en betaalrekeningen. Maar voor de meeste instellingen – met name vermogensbeheerders en aanbieders van private banking – is gegevensdeling via API’s geheel nieuw. Deze partijen worden bovendien gehinderd door hun legacy-infrastructuren, ooit ontwikkeld voor hun traditionele administratieve taken.”

De implementatie van PSD2 is gedelegeerd aan de European Banking Authority (EBA), die een combinatie van business rules en technische richtlijnen opstelde. Het feitelijke protocol werd overgelaten aan de markt. Om te voorkomen dat elke bank met eigen specificaties zou komen, heeft de sector binnen diverse werkgroepen gewerkt aan een Europese standaard.

Naast dienstverlening rond PSD2 is Finologee actief in het KYC-domein: online onboarding, identificatie, digitale ondertekening en klantinteractie. Maar ook lifecycle management rond klantgerelateerde documenten en informatie. Berscheid: “Banken zijn verplicht dat up to date te houden en wij helpen ze daarbij. Wanneer bijvoorbeeld iemands identificatiebewijs verloopt, moet de bank er via een notificatie voor zorgen dat de klant een nieuwe kopie stuurt. Dat vraagt naast interactie om een continue opschoning van de customer database.”

Net als de PSD2-services is de KYC-dienstverlening van Finologee goeddeels API-gebaseerd. “Wanneer de informatie is verzameld en verwerkt – al dan niet via hiertoe geautoriseerde subcontractors – exposen we via het API Connect-platform van IBM de benodigde informatie voor verzameling en reïntegratie van de gevraagde gegevens met de bestaande systemen van onze klanten.”

“Wanneer wij een nieuwe klant op onze diensten aansluiten, hoeven we dat nu alleen maar te melden”

– Georges Berscheid

Platform gezocht

Finologee ontwikkelde zelf de logica achter de oplossingen. Wat ontbrak was een effectieve en efficiënte manier om de API’s te ‘exposen’ aan derde partijen. Een van de technische eisen van de EBA was een development-portal: een website met uiteenlopende informatie over de API‘s, zoals inloggegevens, versie-informatie en andere documentatie. “Omdat we omgeving niet zelf hadden moesten we zoeken naar bestaande oplossingen. Zelf ontwikkelen en implementeren zou namelijk te duur zijn en dus onvoldoende concurrerend”, zegt Georges Berscheid.

“De uiteindelijke keuze werd bepaald door een combinatie van de juiste prijs en aansluiting bij onze behoeften, waaronder de mogelijkheid van multi-tenancy. Veel van de beschikbare oplossingen waren gericht op gebruik van één enkele API-aanbieder: één merknaam, één omgeving enzovoorts. Wij wilden de dienst white-label aanbieden aan alle banken, waardoor multi-tenancy voor ons een harde eis was. Dit criterium sloot het gros van de providers uit.”

Een ander aspect was het feit dat de veel leveranciers alleen SaaS-oplossingen aanboden, die niet in lijn waren met de geldende wet- en regelgeving rond dataprivacy. Bovendien was een zogeheten Professional Financial Services (PFS) autorisatie nodig. Op basis daarvan kan Finologee optreden als outsourcing-provider voor banken.

“Wanneer wij een nieuwe klant op onze diensten aansluiten, hoeven we dat nu alleen maar te melden”, aldus de CTO. “Dat betekent dat er audits zijn geweest, risk assessments, dat de documentatie in orde is enzovoorts – een proces dat normaal maanden of jaren kan duren. Onze leveranciers moeten mee in het gehele auditproces, omdat wij uiteindelijk verantwoordelijk zijn voor de te leveren dienst.”

Ook de cloudprovider die Finologee’s diensten levert moest voldoen aan de eisen rond compliancy. “Omdat onze infrastructuur op Red Hat Kubernetes draait, hadden we een sterke voorkeur voor een oplossing die kon worden gedployed in een dergelijk cluster.”

Deployment en configuratie

De implementatie van API Connect ging vrij voortvarend. “Dat is verrassend, want het is best een complexe oplossing, die bestaat uit aardig wat componenten die allemaal op de infrastructuur van onze cloudprovider gedeployed moeten worden. Vervolgens startte het configuratieproces. Eerst zijn alle verschillende tenants voor onze klanten gecreëerd. Die kregen allemaal een aan hun eigen technologie en identiteit aangepaste portalomgeving.”

Uiteindelijk zijn de API’s op basis van de juiste protocollen en specificaties binnen API Connect gedeployed, in combinatie met de juiste authenticatie. “We hebben daarbij diverse features ontdekt waarvan we niet eens wisten dat IBM die aanbood, bijvoorbeeld voor de communicatie tussen de banken en onze oplossing.”

De totale implementatie was eind 2017 een feit en heeft in totaal tussen de zes tot acht maanden geduurd. Die relatief lange doorlooptijd had vooral te maken met steeds veranderende eisen vanuit de regulator. “De technische integratie van de oplossing op de gekozen infrastructuur leidde eveneens tot wat onverwachte situaties, mogelijk omdat we een van de eerste klanten waren met een Kubernetes-omgeving. Gelukkig werden we we hierin adequate ondersteund vanuit IBM”, zo vertelt de CTO,

Lees meer over IBM integration solution >

Bereikte resultaten

Finologee levert momenteel API-diensten aan 36 banken. “Die hebben zoals gezegd allemaal hun eigen portal, met hun eigen merknaam, url, kleuren en logo’s. Nergens is te zien dat het geserviced wordt door Finologee, hooguit in de algemene voorwaarden.”

Berscheid vervolgt: “Wij leveren onze klanten precies wat de regulator van ze vraagt. Dat doen we zowel met Software as a Service als met API‘s, waarbij alle koppelingen, controls, licenties standaard worden meegeleverd. Desgewenst kunnen we de onderliggende suppliers eenvoudig verwisselen, afhankelijk van de wensen en eisen van onze klanten.”

API’s worden volgens de CTO steeds populairder. “Veel nieuwe spelers in de financiële sector zijn volledig API-gebaseerd. Dit zal de opmars en integratie van diensten verder aanjagen.” IBM’s API Connect geeft Finologee als onderliggend platform de benodigde flexibiliteit om een rol te spelen in de groeiende API-economie door snel in te kunnen spelen op de behoeften in de markt.

“Klanten hebben hiermee een makkelijk te gebruiken, snel te implementeren en goedkope oplossing waarmee ze voldoen aan de wet- en regelgeving”, besluit Georges Berscheid. “Voor veel partijen in het financiële domein is het geen prioriteit om veel geld en tijd te investeren in wettelijk verplichte API’s. Met een paar simpele handelingen is de compliance nu een feit.”

 Voor meer informatie klik hier >