В июне 2025 года мы запустили TYMY Public API — сервис, который позволяет без самостоятельной интеграции настроить взаимодействие с крупными банками, работающими на SaaS-платформе TYMY. К Public API могут подключиться компании-партнеры и таким образом они получают возможность обмениваться информацией с банками: отправлять заявки на ипотеку, получать обновление статуса по ним и т. д. Принцип работы по сути тот же, что и у Open API, только мы открываем доступ к обмену информацией не с банком напрямую, а с нашей платформой — у нас уже есть интеграции и прямой контакт с банками. Но это сейчас — после того, как мы провели больше десяти кейсов и накопили определенный опыт. А вообще интеграция с банком по API — это всегда непредсказуемый по времени и ресурсам квест.

В чём, собственно, проблема?

API-интеграция — процесс в принципе простой с технологической точки зрения: не нужно никакого особенного ПО, нанимать отдельную команду, не нужно специальных знаний и талантов. Берешь документацию системы, с которой планируешь интегрироваться, изучаешь, потом собираешь API и запускаешь. Казалось бы, дел на пару недель. Но это только в теории. 

На практике API часто нужен для обмена информацией с крупными компаниями и корпорациями, с которыми порогов и невидимых стен может обнаружиться куда больше, чем ожидаешь. Если вы когда-то пытались что-то сделать с банком, то наверное знаете, что согласования самых банальных процессов и доступа к нужной информации тут можно ждать месяцами, не то что неделями. Просто это особенность ИТ-инфраструктуры крупного бизнеса: огромное количество процессов и итераций, часто дублирующиеся цепочки принятия решений, разные ответственные лица по разным направлениям. При этом внутренний процесс от вас как от внешней компании может быть скрыт завесой тумана. То есть, иногда вы понятия не имеете, на каком этапе находится интеграция, на ком зависла, сколько еще ждать, и есть ли в этом вообще смысл. Обычно всё можно решить, особенно если сам банк в сотрудничестве заинтересован. Но даже это не гарантирует скорость решений.

Наш рекорд API-интеграции с банком был две недели со старта до запуска — в этом кейсе была максимальная мотивация со стороны партнёра и уже согласованный доступ, плюс не возникло никаких серьезных попутных проблем. В среднем сейчас, после 10+ интеграций, наша скорость запуска с новым банком составляет 1,5-2 месяца. Однако первые интеграции, на которых мы набивали шишки, были, разумеется, гораздо дольше. API-интеграция с банком может длиться и полгода, и год.

К слову, API-интеграция для нас всегда начинается с согласования с СБ. Чаще всего это самый закрытый этап, на который даже топ-менеджмент не всегда может влиять, при этом, по нашему опыту, процесс согласования доступа для нового партнёра с СБ в среднем занимает не меньше месяца. Так что искренне рекомендую начинать интеграцию не с изучения документации или проработки цепочки задач, а с согласования доступа к банковскому API в службе безопасности. Пару раз мы начинали с решения технических задач, а потом сидели и неделями ждали, когда можно уже запускать готовое решение. Под ворчание коллег из бизнес-девелопмента, которым нужно было запустить всё вчера, конечно же. Так что теперь заявку на доступ в СБ мы отправляем сразу, а уж потом принимаемся за работу.

Что можно потерять кроме времени

В конце 2024 года мы интегрировались по API одним крупным банком. Провели несколько встреч, всё обсудили, согласовали с СБ, изучили документацию, подготовили инфраструктуру, провели тесты — всё было супер. Запустили — всё заработало, заявки от нас стали улетать в банк, система с их стороны рапортовала, что всё успешно доходит. А через некоторое время ответственные сотрудники со стороны банка констатировали: заявок нет. Они успешно отправляются, успешно попадают в систему, а потом исчезают, какой-то бермудский треугольник. 

Проверили код с нашей стороны — всё чётко. Неделю ИТ-департамент банка искал проблему на своей стороне, но тоже не нашли. Мистика! Ещё неделю отправляли запросы в разные отдела: не видели ли заявки? Но концов найти не могли: всё супер, всё работает, ничего не работает, заявок нет. В конце концов лидер команды на стороне банка устал от игры в “горячую картошку” и собрал всех, кто отвечал за процесс, на один конфколл. Человек двадцать представителей разных отделов, топы, технические спецы в онлайне разбирались, куда девается информация. Я отправлял тестовую заявку по API, и мы все вместе пытались её найти, увлекательный был конфколл.

Нашли: данные себе где-то по дороге оставлял антивирус. Причем на тестах это отследить было нельзя — обычно на тестовых запусках антивирус отключен. Но самой неприятной новостью стало то, что в команде то ли на этом собрании, то ли вообще, не было эксперта, который бы мог разобраться с работой антивируса. Тут пришла на помощь смекалочка: кто-то из ИТ банка придумал, что пройти мимо антивируса можно, притворившись браузером. Идея была неплохой, мы настроили в наших запросах заголовки, соответствующие браузеру. И — чудеса, да и только — антивирус начал нас пропускать.

В общем, основное, что теряется при API-интеграции кроме времени — это, конечно же, нервные клетки. При этом всегда сложно предположить, в какой именно момент и что может пойти не так, каждая API-интеграция не похожа на другую, многое зависит как от человеческого фактора, так и от инфраструктуры на стороне партнёра.

Запуск – это только начало

Увы, успешно интегрироваться и запуститься вовсе не значит закрыть все вопросы по работе с корпорацией. На этом моменте всё только начинается. Без постоянной коммуникации и мониторинга любая мелкая проблема в процессе обмена информацией может стать неразрешимой. Так что после успешного запуска мы всегда продолжаем отслеживать, как работает система, фиксируем изменения, держим руку на пульсе. Не получится один раз изучить все досконально и забыть, у партнеров меняются требования и регламенты, при этом не всегда об изменениях своевременно сообщают подрядчикам.

Один из ярких примеров — сертификаты безопасности. Такой сертификат оформляется при каждой API-интеграции, затем он сопровождает все данные, подтверждая при каждом запросе, что это мы. Обычно сертификат выпускается на определенный срок — полгода или год. Иногда срок действия сертификата не уточняют. Однажды с нами такое случилось, и мы как-то не обратили на это внимания, по умолчанию решили, видимо, что сертификат на год. А он взял и кончился спустя полгода. Весь обмен данными затормозился об бетонную стену в одну интересную ночь. Наутро мы проснулись очень популярными среди нашей службы поддержки, которая всё утро отвечала на вопросы от пользователей, почему ничего не работает. 

Получить новый сертификат — это отдельный квест. Для этого нужно оформить заявку в соответствующем виде на официальном бланке, распечатать, заверить подписью и печатью. Потом доставить в офис партнера, где несколько человек ее проверят, по очереди завизируют и только после оформят новый сертификат. Делать это в режиме паники нам не понравилось, в общем. Так что теперь перепроверять сроки действия сертификатов и заранее запрашивать их обновление – наше жесткое правило. 

Эпилог

Итак, API-интеграция — задача не самая тривиальная, несмотря на кажущуюся простоту. Жизнь всем упростило бы массовое внедрение открытых API. Но, к сожалению, в ближайшее время это вряд ли возможно, концепция развития открытого обмена информации только обсуждается, и она в любом случае не откроет прямой доступ к созданию заявок по той же ипотеке в банк. Так что надеюсь, наш опыт в API-интеграции кому-то пригодится.

Максим Быстров

СТО ИТ-компании TYMY