XS2A.api

Was kann das Produkt?

Über dieses Produkt wird ein zeitweiser, asynchroner Zugriff auf Kontodaten einer Bankverbindung gewährt, mit dem Ziel einen elektronischen Kontoauszug zu erhalten bzw. abrufen zu können, um diese Daten zum Beispiel in einem PFM-Tool verwenden zu können. Hierbei steht der Bankkunde im Mittelpunkt, da unter einem Bankkunden mehrere Bankverbindungen zusammengefasst werden können. Im Rahmen der Synchronisation erfolgt ein wiederholter Zugriff auf die Bankdaten über ein Login im Online-Banking. Die verschiedenen Synchronisationsvarianten werden im weiteren Verlauf noch detaillierter beschrieben. Zusammenfassend wird über dieses Produkt die mehrfache Abfrage der Kontoumsätze ohne erneute Login-Erfordernis des Kontoinhabers unterstützt.

Was passiert?

Zur Anlage, Verwaltung und Nutzung stehen dem Anbieter verschieden Funktionen innerhalb unserer API zur Verfügung, die im weiteren Verlauf näher beschrieben werden. In diesem Kontext wird zwischen dem Bankkunden, einem Zugangs-Token, der Bankverbindung und dem Bankkonto unterschieden.

 

Bankkunde: Ist eine Person unter der eine oder mehrere Bankverbindungen zusammengefasst sind.

 

Zugangs-Token: Der Zugangs-Token ist ein spezieller API-Key, der nur Daten eines Bankkunden abfragen kann. Dieser kann z.B. direkt auf Mobil-Geräten verwendet werden.

 

Bankverbindung: Hierbei handelt es sich um den Login zu einer Bank. Jedem Bankkunden können mehrere Bankverbindungen zugeordnet werden.

Bankkonto: Innerhalb einer Bankverbindung kann es mehrere Bankkonten geben, diese beinhalten jeweils Informationen zum Konto und den Umsätzen.

Der typische Ablauf sieht wie folgt aus:

  1. Anlage Bankkunde über API
  2. Anlage Zugangs-Token über API
  3. Anlage einer Bankverbindung über die API
  4. Interaktion des Bankkunden über den Wizard (Login in Online-Banking und Authorisierung für revolvierende Zugriffe, die dann ohne erneuten Login erfolgen können.)
  5. Abruf der Ergebnisse zum jeweiligen Bankkonto

Welche Schritte sind enthalten?

Folgender Funktionsumfang wird aktuell unterstützt:

Bankkunden - Über die API können Bankkunden angelegt, abgefragt (einzeln und als Liste) und gelöscht werden. Die zugehörigen Zugangs-Token können ebenfalls angelegt, abgefragt (einzeln und als Liste) und gelöscht werden. Außerdem kann die Gültigkeit dieser über die API verlängert werden. Per Default ist ein Token 1 Stunde gültig, dies kann aber ebenfalls über die API verändert werden.

Bankverbindungen -  Über die API können Bankverbindungen eines Bankkunden angelegt, abgefragt (einzeln und als Liste) und gelöscht werden. Jede Neuanlage einer Bankverbindung Bedarf einer Interaktion (Bankauswahl und Login) des Endkunden. Hierbei wird der Endkunde durch den Prozess geführt. Für die Integration dieses Prozesses steht ein spezielles JavaScript-Widget oder eine Wizard-API zur Verfügung. Außerdem kann eine angelegte Bankverbindung synchronisiert werden, d.h. es werden die aktuelle Daten (Kontoinformationen und Umsätze) zu den Konten innerhalb dieser Bankverbindung, über die jeweilige Bank, ausgelesen und im System gespeichert.

Bankkonto - Über die API können Bankkonten eines Bankkunden abgefragt (einzeln und als Liste) werden und es können Kontoinformationen und Umsätze eines Bankkontos abgefragt werden. Außerdem können über die API alle bisherigen Umsätze eines Bankkontos als “gesehen” markiert werden. Hierbei können die Umsätze nach einem Zeitraum gefiltert werden. Welche Daten als eigentliches Ergebnis zu Kontoinformationen und Umsätze im Detail maximal geliefert werden können, kann hier eingesehen werden:  https://docs.fintecsystems.com/swagger/#tag/XS2A.api.accounts

Synchronisations Varianten - Bezüglich der Synchronisation werden drei Varianten unterschieden:

  1. Die Credentials werden verschlüsselt und im System serverseitig gespeichert. Die Synchronisation erfolgt automatisiert einmal täglich.
  2. Die Credentials werden verschlüsselt, geteilt und ein Teil im System von FTS gespeichert; der zweite Teil wird im System des Anbieters gespeichert. Bei Aufruf durch das System des Anbieters wird dieser übergeben, so dass das Chiffrat entschlüsselt werden kann. Anschließend erfolgt der Zugriff auf das Bankkonto.
  3. Es erfolgt keine automatische Synchronisation. Es bedarf bei jedem Zugriff eine Interaktion mit dem Endkunden.

Bei bestimmten Events (neues Bankkonto, neue Umsätze, fehlerhafte Synchronisation), die im Rahmen der Synchronisation auftreten können, erfolgt eine Benachrichtigung via Webhook. Treten wiederholt Fehler auf wird die entsprechende Bankverbindung deaktiviert.