Autorizace příkazů zadaných přes API FIO banky

5. 6. 2015 12:21:19

Implementoval jsem do systému napojení na API Fio banky. Párování plateb atd běží bez problému, narazil jsem ale na zádrhel u zadávání příkazů. Import do banky funguje, ale zařadí se do fronty k autorizaci a tady nevím jak dál.

Chápu, že si banka vyhrazuje ať jsou transakce potvrzovány SMS klíčem, ale opravdu nejde zaslání tohoto klíče a jeho následné odeslání po doručení SMS zprávy provést přes API, tedy stále v našem systému?

Znamená to tedy, že sice si můžeme platby naklikat v aplikaci kde známe příjemce a další parametry platby, pak se ale musím vždy přihlásit do klasického IB, nechat si zaslat SMS klíč a tam jej zadat? To mi přijde dosti WTF, ale snad jsem něco přehlédl :)

Jak to řešíte? Díky.

5. 6. 2015 12:21:19

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117878

Martin Bárta

(28 hodnocení)

5. 6. 2015 12:43:05

Myslím, že přesně tak to je.

Je to právě z důvodu bezpečnosti - aby pokyny nemohla podepsat osoba, která k tomu nemá oprávnění a vy jste pak nechtěl platby třeba reklamovat atp. Banka se tak vlastně chrání.

5. 6. 2015 12:43:05

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117877

i-PRESS

(2 hodnocení)

5. 6. 2015 13:10:33

Díky, toho jsem se obával..

Myslím, že ten bezpečnostní prvek je právě ta nutnost přístupu k mobilu, ne k rozhraní IB, takže by se dalo o tomto, jako bezpečnostním prvku polemizovat. V praxi mi nezbude nic jiného, než zpřístupnit i přihlášení do IB, což je podle mě daleko větší bezpečnostní riziko, nebo tomu věnovat daleko více času a s pomocí virtuální SIM a robota vyplňovat v IB autorizaci.

Nemá s tím někdo zkušenosti?

5. 6. 2015 13:10:33

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117876

Martin Bárta

(28 hodnocení)

5. 6. 2015 13:11:49

Napsal i-PRESS;1200285
Díky, toho jsem se obával..
Myslím, že ten bezpečnostní prvek je právě ta nutnost přístupu k mobilu, ne k rozhraní IB, takže by se dalo o tomto, jako bezpečnostním prvku polemizovat. V praxi mi nezbude nic jiného, než zpřístupnit i přihlášení do IB, což je podle mě daleko větší bezpečnostní riziko, nebo tomu věnovat daleko více času a s pomocí virtuální SIM a robota vyplňovat v IB autorizaci.
Nemá s tím někdo zkušenosti?

a to je opravdu takový problém aby jednou - dvakrát za den někdo přišel do IB a příkazy potvrdil? Stačí mu dát jen dispozici k účtu a tam lze nastavit i omezená oprávnění (na pobočce).

5. 6. 2015 13:11:49

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117875

i-PRESS

(2 hodnocení)

5. 6. 2015 13:36:16

Problém by to až tak nebyl, ale onen člověk zase stejně není schopen ověřit, zda ta transakce je oprávněná, to ví jen operátor, který případ zná a transakci zadal. Systém neumožňuje zadat platbu jen tak, ověřuje před zadáním oprávněnost (např ukončený reklamační proces,...), částka max ve výši nákupní ceny a další.

Jak píši, problém to není, ale pokud přijde člověk co ty transakce nezkontroluje a jen "odkliká", má to asi takový přínos jako automat, který to udělá hned, proto se mi zdá zbytečné, aby měl někdo v 1 osobě přístup jak k IB, tak k onomu mobilu pro autorizaci. Ale chápu, nedá se nic dělat.

5. 6. 2015 13:36:16

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117874

carlos

(19 hodnocení)

5. 6. 2015 14:30:16

Proč by to nebyl schopen ověřit? Dostane na papír seznam a ten projede ručně proti výpisu příkazů....

5. 6. 2015 14:30:16

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117873

ixemin

(6 hodnocení)

5. 6. 2015 14:55:34

anebo pastne do aplikácie zoznam transakcií k potvrdeniu a tá mu povie, či je šetko ok ;)

5. 6. 2015 14:55:34

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117872

i-PRESS

(2 hodnocení)

5. 6. 2015 14:59:17

Nechtěl jsem to zbytečně rozepisovat, samozřejmě zkontrolovat může, rád zpřístupním takový přehled i přímo v systému, ale aniž by se člověk probíral oprávněností nároku, zkontroluje tak pouze že příkazy ke zpracování jsou 1:1 s tím, co je v našem systému.

To dokáže stejně spolehlivě (možná i více) udělat script, který nás nic nestojí (mzdové náklady) a nenadává, že to je stereotypní práce :-)

Ono smyslem celé vlny upgradu je omezit rutinní činnosti na minimum a co jde automatizovat, to automatizovat. Lidi ať se věnují kreativní činnosti a ne párováním plateb. Důvod je stejný, jaký byl u stále většího počtu emailů. Buď mají do schránky přístup všichni a zareaguje si ten, koho se email klienta týká, nebo to dříve 1 člověk "přerozděloval". Stálo to hromadu času a peněz.

Postavil se před to systém, který nám z 90% rozklíčuje které zakázky se email týká a notifikuje o něm přímo zodpovědnou osobu, supervisor řeší jen zbylých 10%.

Takže pokud někdo bude kontrolovat částku, VS a číslo účtu jen oproti tomu co je v systému, nemá to žádnou přidanou hodnotu a chápu, že to nikoho nebaví. Na to poslouží stroj lépe.

5. 6. 2015 14:59:17

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117871

ixemin

(6 hodnocení)

5. 6. 2015 15:05:51

Ono je to jednoduché. Banka sa týmto krokom bráni prípadným chybám na strane stroja. Potvrdením SMS správou a nutnosťou sa prihlásiť do IB je vždy možnosť to "hodiť" na konkrétnu osobu.

Osobne som rád za API, ktoré Fio poskytuje verejne, bez nutnosti sa dotazovať tisíc krát na pobočkách, kde tomu nikto nerozumie.

A som si istý, že niekto šikovný by možno aj zvládol naprogramovať niečo na štýl makra, ktoré by toto zvládlo a nahradilo by človeka.

5. 6. 2015 15:05:51

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117870

i-PRESS

(2 hodnocení)

5. 6. 2015 15:15:55

I já jsem rád za to co je, i tato "poloautomatizace" by ušetřila spoustu času a chápu FIO že se kryje, ale stále si myslím, že toto lze dnes už vyřešit třeba certifikátem, který by nahradil mobil a byl tedy dalším faktorem pro autorizaci, tedy něco znát a něco vlastnit.

Skript pro FIO si naprogramujeme, ale kromě toho že to tím pravděpodobně porušíme jejich podmínky, mi to přišlo takové zbytečné, nehledě na to, že obdobně jako u parsování webů je to značně náchylné při úpravách IB z jejich strany.

Ale každopádně díky všem za potvrzení, že jsem nic nepřehlédl a je to skutečně tak. Snad jednou... :-)

5. 6. 2015 15:15:55

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117869

carlos

(19 hodnocení)

6. 6. 2015 14:33:09

Podívej se na to z druhé stránky... Pokud stroj někdo hackne, může odeslat veškerý zůstatek tvého účtu kamkoliv do světa... Není tedy lepší s tím strávit pár minut denně?

6. 6. 2015 14:33:09

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117868

ZacatecnikFreelancerOlm

16. 5. 2018 10:48:00

Nejhorší na tom je, že ani evropská legislativa která nově bankám bude nařizovat provozování API (bylo zřejmě prolobováno fintech firmami, ale v podstatě je to i pro spotřebitele pozitivní věc) s tímhle nepočítá, takže banky sice vytvoří nějaké minimální api ale minimálně kvůli autorizacím budou klienty nutit přihlašovac se v jejich bankovnictví místo aby pro autorizaci poskytli metody api.

16. 5. 2018 10:48:00

https://webtrh.cz/diskuse/autorizace-prikazu-zadanych-pres-api-fio-banky/#reply1117867

Pro odpověď se přihlašte.

Přihlásit