AMP • TR

Open Banking ve API Yazılım Geliştirme: Kapsamlı Rehber 2026

Open banking nedir, API yazılım geliştirme nasıl yapılır? Açık bankacılık, PSD2, ÖHVPS, API güvenliği ve fintech yazılım entegrasyonu rehberi 2026.

Ana sürüm (canonical)

Open Banking ve API Yazılım Geliştirme: Kapsamlı Rehber 2026

Finans dünyası hızla dijitalleşirken açık bankacılık (open banking) kavramı, hem tüketiciler hem de fintech şirketleri için devrim niteliğinde fırsatlar yaratıyor. Bu rehberde open banking'in temellerinden API yazılım geliştirme süreçlerine, PSD2/PSD3 regülasyonlarından Türkiye'deki ÖHVPS altyapısına kadar her şeyi ele alıyoruz. Amacımız, teknik karar vericilere ve yazılım geliştiricilere uçtan uca bir yol haritası sunmaktır.

Open Banking Nedir?

Open banking (açık bankacılık), bankaların müşteri verilerini — müşterinin açık rızası dahilinde — üçüncü taraf hizmet sağlayıcılara (TPP — Third Party Provider) güvenli API'ler aracılığıyla paylaşmasını zorunlu veya mümkün kılan düzenleyici ve teknolojik çerçevedir. Temel felsefe, finansal verilerin bankaya değil müşteriye ait olduğu ilkesine dayanır.

Açık bankacılığın temel bileşenleri şunlardır:

Hesap Bilgisi Hizmeti (AIS — Account Information Service): Farklı banka hesaplarından bakiye, işlem geçmişi ve hesap detaylarını tek bir panel üzerinden görüntüleme imkânı sağlar.
Ödeme Başlatma Hizmeti (PIS — Payment Initiation Service): Üçüncü taraf uygulamalar üzerinden doğrudan banka hesabından ödeme tetikleme yeteneği verir; kart ağına ihtiyaç duymaz.
Fon Doğrulama Hizmeti (CoF — Confirmation of Funds): Bir ödeme işlemi öncesinde hesaptaki bakiyenin yeterliliğini doğrular.

Open banking, fintech ekosistemini besleyen en önemli altyapılardan biridir. Detaylı fintech ekosistemi bilgisi için FinTech Nedir? Türkiye'nin Öne Çıkan FinTech Şirketleri yazımıza göz atabilirsiniz.

PSD2, PSD3 ve Avrupa Düzenleyici Çerçevesi

PSD2 (Payment Services Directive 2)

2018'de yürürlüğe giren PSD2, Avrupa Birliği'ndeki açık bankacılığın temel taşıdır. Ana gereksinimleri:

Bankaların lisanslı TPP'lere API erişimi sağlaması zorunluluğu
Güçlü Müşteri Kimlik Doğrulama (SCA — Strong Customer Authentication) uygulaması
AIS ve PIS hizmetlerinin standartlaştırılması
90 günlük yeniden onay mekanizması (re-authentication)

PSD3 ve PSR (Payment Services Regulation)

Avrupa Komisyonu, PSD2'nin eksiklerini gidermek üzere PSD3 ve PSR taslağını 2023'te yayımladı; 2025-2026 itibarıyla uygulamaya geçmesi bekleniyor. Öne çıkan değişiklikler:

IBAN/isim eşleştirme kontrolü ile ödeme dolandırıcılığına karşı ek güvence
Dashboard zorunluluğu: Müşterilerin hangi TPP'lere erişim verdiklerini tek noktadan yönetebilmesi
API performans standartları: Banka API'lerinin uptime, latency ve veri kalitesi ölçütlerine uyması
Açık finans (Open Finance) kapısı: Bankacılığın ötesinde sigorta, yatırım ve emeklilik verilerine erişim için yasal zemin

Berlin Group, STET ve UK Open Banking Standartları

Avrupa'da birden fazla API standardı mevcuttur:

Berlin Group (NextGenPSD2): JSON tabanlı, REST API spesifikasyonu; Almanya, Avusturya ve birçok AB ülkesinde benimsenir.
STET: Fransa ve Belçika kaynaklı, ISO 20022 uyumlu standart.
UK Open Banking: İngiltere'nin FCA denetiminde, JSON/REST tabanlı en olgun implementasyonlardan biri.

Türkiye'de Açık Bankacılık: ÖHVPS ve TCMB Altyapısı

Türkiye'de açık bankacılık, TCMB (Türkiye Cumhuriyet Merkez Bankası) tarafından yönetilen ÖHVPS (Ödeme Hizmetleri Veri Paylaşım Servisleri) çerçevesinde şekillenmektedir.

ÖHVPS'nin Temel Özellikleri

Merkezi yetkilendirme (GKD — Güçlü Kimlik Doğrulama): Yönlendirme ve ayrık GKD modelleri ile müşteri onayı alınır.
HHS (Hesap Hizmeti Sağlayıcısı): Bankalar ve ödeme kuruluşları, hesap bilgisi ve ödeme başlatma API'lerini ÖHVPS spesifikasyonuna uygun olarak sunar.
YÖS (Yetkili Ödeme Hizmeti Sağlayıcısı): TCMB'den lisans alan üçüncü taraf uygulamalar, HHS API'lerine erişebilir.
BKM (Bankalararası Kart Merkezi) altyapısı: API gateway, sertifika yönetimi ve test ortamları BKM üzerinden koordine edilir.

Türkiye Open Banking Yol Haritası

Faz 1 (tamamlandı): Hesap bilgisi paylaşımı — bakiye ve hareket sorgulama
Faz 2 (tamamlandı): Ödeme başlatma — FAST ve havale entegrasyonu
Faz 3 (devam ediyor): Gelişmiş veri paylaşımı — kredi bilgisi, yatırım hesapları
Faz 4 (planlanan): Açık finans — sigorta, emeklilik, sermaye piyasası verileri

Fintech yazılım çözümleri hakkında daha fazla bilgi almak için Fintech Yazılım Hizmetleri sayfamızı ziyaret edebilirsiniz.

API Yazılım Geliştirme Mimarisi

Open banking API'leri geliştirirken doğru mimari kararlar, ölçeklenebilirlik ve güvenlik açısından kritik öneme sahiptir.

Microservices Mimarisi

Modern open banking platformları genellikle mikro servis mimarisini tercih eder:

Auth Service: OAuth 2.0 / OpenID Connect token yönetimi, consent (rıza) servisi
Account Service: Hesap bilgisi sorgulama, bakiye ve hareket listeleme
Payment Service: Ödeme başlatma, durum takibi, idempotency kontrolü
Consent Service: Müşteri rızası yönetimi, 90 günlük süre takibi, iptal mekanizması
Notification Service: Webhook, push notification ve event-driven bildirimler
Audit & Logging Service: Tüm API çağrılarının kayıt altına alınması, uyum raporlama

API Gateway ve Trafik Yönetimi

Bir API gateway katmanı, open banking altyapısının olmazsa olmazıdır:

Rate limiting: Her TPP için saniye/dakika bazlı istek limitleri
Throttling: Aşırı yüklenmede kademeli yavaşlatma
IP whitelisting ve mTLS: Yalnızca yetkili istemcilerin erişimi
Request/response transformation: Farklı standartlar arası format dönüşümü
Caching: Bakiye gibi düşük frekanslı verilerde akıllı önbellek

Popüler gateway çözümleri arasında Kong, Apigee, AWS API Gateway ve Azure API Management yer alır.

RESTful API Tasarım İlkeleri

Open banking API'leri tasarlanırken aşağıdaki ilkeler benimsenmelidir:

Kaynak odaklı URI'ler: /accounts/{accountId}/transactions formatında
HTTP metot uyumu: GET (sorgulama), POST (oluşturma/ödeme başlatma), PUT/PATCH (güncelleme)
HATEOAS: Yanıtlarda sonraki adıma yönlendiren linkler
Versiyonlama: URL path (/v1/, /v2/) veya header-based versioning
Idempotency key: Ödeme başlatma gibi kritik işlemlerde tekrar gönderim güvenliği
Pagination: Cursor veya offset tabanlı sayfalama

OAuth 2.0 ve Güvenlik Katmanları

Open banking güvenliği, standart web güvenliğinin çok ötesinde katmanlı bir yaklaşım gerektirir.

OAuth 2.0 ve FAPI (Financial-grade API)

Authorization Code Flow + PKCE: Mobil ve SPA uygulamalar için güvenli yetkilendirme akışı
FAPI 2.0 profili: Finansal API'ler için geliştirilmiş güvenlik profili; DPoP (Demonstration of Proof-of-Possession) token bağlama, PAR (Pushed Authorization Requests) ve JARM (JWT Authorization Response Mode) içerir
Consent scope'ları: accounts:read, payments:initiate, funds:confirm gibi granüler erişim tanımları
Token yaşam döngüsü: Access token (5-15 dk), refresh token (90 gün veya consent süresine bağlı), token revocation endpoint

Ek Güvenlik Katmanları

mTLS (Mutual TLS): Hem istemci hem sunucu sertifika doğrulaması; eIDAS QWAC/QSealC sertifikaları
JWS (JSON Web Signature): API istek ve yanıtlarının dijital imzalanması
Idempotency ve replay koruması: x-idempotency-key başlığı ile çift ödeme engelleme
WAF ve DDoS koruması: Uygulama katmanında güvenlik duvarı ve trafik analizi
SIEM entegrasyonu: Güvenlik olaylarının merkezi izleme ve alarm sistemiyle takibi

Geliştirme Süreci ve En İyi Uygulamalar

Sandbox ve Test Ortamı

Başarılı bir open banking API geliştirme süreci sağlam bir sandbox ortamıyla başlar:

Mock HHS/banka servisleri: Gerçek bankaya bağlanmadan test yapabilme
Test verileri: Çeşitli senaryoları kapsayan yapay hesap/işlem verileri
Postman/Swagger koleksiyonları: API dokümantasyonu ve interaktif test
CI/CD pipeline: Otomatik test, linting ve deployment

Veri Modelleri ve Standartlar

ISO 20022: Uluslararası ödeme mesajlaşma standardı; ÖHVPS ve SEPA uyumlu
JSON:API veya OpenAPI 3.x: API spesifikasyon formatları
Currency ve amount handling: ISO 4217 para birimi kodları, BigDecimal hassasiyeti
Tarih/saat formatı: ISO 8601, timezone-aware (UTC tercih edilir)

Hata Yönetimi ve Loglama

RFC 7807 (Problem Details): Standart hata yanıt formatı
Correlation ID: Her isteğe benzersiz izleme kimliği atanması
Yapılandırılmış loglama: JSON formatında, ELK Stack veya benzeri araçlarla merkezi toplama
Health check endpoint'leri: /health, /ready ile servis durum izleme

Open Banking API Geliştirmede Kullanılan Teknolojiler

Backend Teknolojileri

Java / Spring Boot: Kurumsal bankacılıkta en yaygın tercih; Spring Security OAuth2 desteği
Node.js / NestJS: Hızlı prototipleme ve microservice geliştirmede popüler
Go: Yüksek performanslı, düşük latency gereken gateway ve middleware katmanlarında
Python / FastAPI: Veri analitiği ve ML entegrasyonu gereken AIS servislerinde

Altyapı ve DevOps

Container orchestration: Kubernetes ile ölçeklenebilir deployment
Service mesh: Istio veya Linkerd ile servisler arası güvenli iletişim
API management: Kong, Apigee veya AWS API Gateway
Monitoring: Prometheus + Grafana, Datadog veya New Relic
Secret management: HashiCorp Vault, AWS Secrets Manager

Türkiye'de Open Banking Fırsatları ve Kullanım Senaryoları

Açık bankacılık, Türkiye'deki fintech ekosistemi için çok sayıda kullanım senaryosu sunar:

Hesap birleştirme (account aggregation): Farklı bankalardaki hesapları tek panelde görüntüleme
Kişisel finans yönetimi (PFM): Harcama analizi, bütçe oluşturma, tasarruf önerileri
Kredi skorlama: Banka hareket geçmişine dayalı alternatif kredi değerlendirmesi
E-ticaret ödeme: Kart yerine doğrudan banka hesabından ödeme (FAST üzerinden)
Fatura yönetimi: Otomatik fatura tanıma ve ödeme planlama
KYC otomasyonu: Hesap doğrulama ve kimlik bilgisi eşleştirme

Banka yazılımı geliştirme sürecinin detayları için Banka Yazılımı Geliştirme Rehberi yazımızı inceleyebilirsiniz.

Open Banking Projesinde Dikkat Edilmesi Gerekenler

Open banking API projelerinde başarı için şu noktalara dikkat edilmelidir:

Regülasyona uyum: TCMB ÖHVPS yönetmeliği, KVKK, PCI-DSS standartları
Consent yönetimi: Müşteri rızasının doğru şekilde alınması, saklanması ve iptal edilebilmesi
SLA ve performans: API yanıt süreleri (< 500 ms hedefi), %99.9+ uptime
Geriye uyumluluk: API versiyonları arasında sorunsuz geçiş ve deprecation politikası
Dokümantasyon: Geliştirici portalı, interaktif API explorer, SDK desteği
Pentest ve güvenlik denetimleri: Düzenli penetrasyon testi ve OWASP API Security Top 10 kontrolü

Sıkça Sorulan Sorular (FAQ)

Open banking güvenli mi?

Evet, open banking güvenli bir sistemdir. OAuth 2.0 / FAPI güvenlik profili, mTLS sertifika doğrulaması, güçlü müşteri kimlik doğrulama (SCA) ve veri şifreleme gibi çok katmanlı güvenlik mekanizmaları kullanır. Bankalar yalnızca lisanslı ve denetlenen üçüncü taraf sağlayıcılara (TPP) API erişimi verir; müşterinin açık rızası olmadan hiçbir veri paylaşılmaz.

ÖHVPS nedir ve nasıl çalışır?

ÖHVPS (Ödeme Hizmetleri Veri Paylaşım Servisleri), Türkiye'de TCMB tarafından yönetilen açık bankacılık altyapısıdır. HHS (bankalar) ve YÖS (lisanslı üçüncü taraflar) arasında standart API'ler üzerinden hesap bilgisi paylaşımı ve ödeme başlatma hizmetlerini düzenler. GKD (Güçlü Kimlik Doğrulama) ile müşteri onayı alınır ve tüm işlemler BKM altyapısı üzerinden güvenli şekilde gerçekleştirilir.

Open banking API geliştirmek için hangi teknolojiler gerekir?

Open banking API geliştirmek için OAuth 2.0 / OpenID Connect kimlik doğrulama altyapısı, RESTful API tasarım bilgisi, mTLS sertifika yönetimi, microservices mimarisi deneyimi ve Kubernetes gibi container orchestration araçları gerekir. Backend tarafında Java/Spring Boot, Node.js/NestJS veya Go; API management için Kong veya Apigee; monitoring için Prometheus/Grafana yaygın tercihlerdir.

PSD2 ile PSD3 arasındaki fark nedir?

PSD2, 2018'de yürürlüğe giren ve bankaları lisanslı TPP'lere API erişimi sağlamaya zorunlu kılan Avrupa direktifidir. PSD3 ise PSD2'nin geliştirilmiş hali olarak IBAN/isim eşleştirme, geliştirilmiş API performans standartları, müşteri rıza yönetim paneli zorunluluğu ve açık finans kapısı gibi iyileştirmeler getirir. PSD3 ayrıca regülasyonun bir kısmını doğrudan uygulanabilir tüzük (PSR) haline getirerek AB genelinde uygulama tutarlılığını artırmayı hedefler.

Türkiye'de open banking API geliştirmek için lisans gerekli mi?

Evet, Türkiye'de open banking API'lerine erişim sağlamak ve müşterilere hesap bilgisi veya ödeme başlatma hizmeti sunmak için TCMB'den YÖS (Yetkili Ödeme Hizmeti Sağlayıcısı) lisansı almak zorunludur. Lisans başvurusu; sermaye yeterliliği, BGYS (ISO 27001), BCP/DRP planları ve teknik uyum gibi gereksinimleri içerir. Yalnızca yazılım geliştirme hizmeti sunan firmalar doğrudan lisansa ihtiyaç duymaz; ancak müşterileri adına API'ye erişen firmalar lisanslı bir YÖS ile çalışmalıdır.

Sonuç

Open banking, finansal hizmetlerin demokratikleşmesinde kritik bir dönüm noktasıdır. Türkiye'de ÖHVPS altyapısının olgunlaşması ve Avrupa'da PSD3'ün yürürlüğe girmesiyle birlikte, API yazılım geliştirme yetkinliği fintech alanında rekabet avantajının anahtarı haline gelmiştir. Doğru mimari kararlar, katmanlı güvenlik yaklaşımı ve regülasyona uyum ile başarılı open banking projeleri hayata geçirmek mümkündür.

Cesa Yazılım olarak fintech ve open banking API yazılım geliştirme konusunda uçtan uca çözümler sunuyoruz. Projeleriniz için iletişime geçin.