Tout le monde connaît le sens des abréviations etc., FYI et FAQ. Juste au cas où vous l’auriez oublié, ces acronymes signifient « etcetera », « For Your Information » et « Foire aux questions ».
En voici une autre : la DSP2. Cet acronyme désigne le second volet d’une directive sur les services de paiement qui existe depuis 2007. Depuis septembre 2019, la directive no 2 vise à lutter contre la fraude et les activités malveillantes, à renforcer la sécurité des transactions en ligne et à encourager la concurrence dans le secteur des paiements grâce à l’Open Banking. La directive s'applique à tous les États membres de l’UE (« Union européenne », facile !) et exige que tous les établissements financiers ouvrent leurs réseaux d'information et de paiement aux prestataires de services de paiement (PSP) et autres prestataires tiers (TPP, Third Party Providers).
Mais au milieu de cette avalanche d’acronymes dans l’Open Banking et la DSP2, il est parfois difficile d’y voir clair sur les conséquences de ces évolutions pour les entreprises du secteur financier.
Pas de panique, nous sommes là pour vous aider ! Si vous souhaitez en savoir plus sur les répercussions de cette dernière directive sur le secteur de la sécurité dans l’UE, poursuivez votre lecture. Et pour obtenir la liste des abréviations, nous vous invitons à télécharger le Glossaire de la DSP2 au bas de ce billet. Si vous rencontrez d’autres termes pertinents que nous aurions oubliés, partagez-les dans la rubrique Commentaires pour que nous les ajoutions !
SCA, CSC et NTR... Quésaco ?
Après la publication par l'UE des exigences de la DSP2, l'ABE (Autorité bancaire européenne) a travaillé avec la Commission européenne à la création d’un ensemble de NTR (Normes techniques de réglementation). Ces normes s'appliquent aux établissements financiers (comme les banques) et aux PSP (prestataires de services de paiement — vous suivez ?) et abordent les questions de SCA (Authentification forte du client, Strong Customer Authentication) et de CSC (Normes ouvertes communes et sécurisées de communication, Common and Secure Open Standards of Communication), en précisant quelles sont les mesures de sécurité et les implémentations spécifiques requises pour se conformer à la DSP2.
Et les répercussions de la SCA et des CSC dans tout ça ?
Dans le cadre d’une SCA, pour qu'un client puisse effectuer des paiements ou accéder à ses comptes de paiement en ligne, son identité doit être vérifiée à l’aide d’au moins deux facteurs (et hop, encore un acronyme : la 2FA, également appelée authentification à deux facteurs ou bifactorielle). L'authentification à deux facteurs désigne la combinaison de deux éléments parmi les suivants : quelque chose que le client connaît (comme un mot de passe), quelque chose qu'il possède (comme un téléphone ou un jeton) ou quelque chose intrinsèque à la personne (comme un élément biométrique). Les exigences de SCA représentent une avancée pour lutter contre la fraude et renforcer la sécurité des paiements en ligne.
La Directive DSP2 contraint les établissements financiers (notamment les banques) à donner accès à leurs informations clients et à leurs réseaux de paiement aux prestataires de services de paiement et autres prestataires tiers. Mais ces informations étant extrêmement confidentielles, le volet CSC des NTR précise quels canaux de communication peuvent être utilisés et exige que toute communication entre les parties soit chiffrée de manière sécurisée.
Le Who’s Who de l’Open Banking
Les acteurs de l’Open Banking sont nombreux et comptent quelques figures majeures :
- ASPSP : Account Service Payment Service Provider, Prestataire de services de paiement gestionnaire de comptes
Les prestataires ASPSP fournissent et gèrent les comptes de paiement des clients. Dans l'écosystème de l'Open Banking, ce sont eux qui éditent les API (Interfaces de programmation des applications, Application Programming Interface) basées sur des standards qui permettent aux fournisseurs tiers d'accéder aux données transactionnelles de leurs clients. Ces tiers peuvent ainsi fournir des informations sur les comptes ou des services permettant d’initier des paiements. Seuls les établissements financiers (comme les banques) peuvent être ASPSP. - AISP : Account Information Service Provider, Fournisseur de services d'information sur les comptes ou « Agrégateur »
Ces prestataires regroupent les informations en ligne provenant de plusieurs comptes de paiement pour permettre aux clients de consulter l’ensemble de leurs données financières provenant de plusieurs banques via une seule et même interface. - PISP : Payment Initiation Service Provider, Fournisseur de services d'initiation de paiement
Ces prestataires peuvent initier des paiements en ligne directement depuis le compte en banque d’une personne pour le compte de cette personne. Ainsi, un client qui effectue ses achats en ligne peut, par exemple, permettre au cyber-commerçant d'initier un ordre de paiement directement depuis sa banque, sans avoir à communiquer ses coordonnées bancaires au cyber-commerçant. - CBPII : Card-based Payment Instrument Issuer, Émetteur d'instruments de paiement par carte
Cet organisme délivre des instruments de paiement, souvent sous la forme de cartes de crédit ou de cartes bancaires à débit immédiat ou différé. - TPP : Third Party Provider, Prestataire tiers
Ces prestataires ne sont pas détenteurs des comptes de paiement de leurs clients. Ils utilisent en fait les API fournies par le prestataire gestionnaire de comptes (ASPSP) pour fournir des informations sur les comptes ou des services d'initiation de paiement. Les prestataires tiers ne peuvent être qu’agrégateurs (AISP) et/ou initiateurs de paiements (PISP) dans la mesure où ils n'ont pas accès aux comptes de paiement.
Que sont les ANC et quel est leur rôle ?
Les ANC (Autorités nationales compétentes) en Europe délivrent un numéro d’enregistrement et d’agrément aux prestataires qui répondent aux critères de qualification pour pouvoir utiliser les certificats qualifiés demandés. Vu l’extrême confidentialité des données en jeu, il est important que seuls les établissements financiers agréés puissent obtenir les certificats requis dans le cadre de l’Open Banking. Le PSCQ (Prestataire de services de confiance qualifié) consultera le registre de l'ANC de son pays — en France, il s’agit de l’ACPR adossé à la Banque de France — avant de délivrer ses certificats QWAC (Qualified Web Authentication Certificates, certificats qualifiés d’authentification de site Internet) ou certificats QSealC (Qualified Electronic Seal Certificates, Certificats qualifiés de cachet électronique). Il intégrera à ses certificats les renseignements fournis par son autorité nationale compétente.
Et la place de GlobalSign dans tout ça ?
Prestataire de services de confiance qualifié mondialement reconnu, GlobalSign occupe déjà une place de leader dans ce domaine. Nous sommes arrivés au terme de la procédure d’agrément qui nous permet d’émettre des certificats QWAC et QSealC à l’attention des entreprises de l’UE souhaitant se conformer à la DSP2.
Nous comprenons à quel point les exigences de conformité peuvent être complexes et déroutantes, surtout face à la quantité de nouveaux acronymes. Besoin d’un récapitulatif pour vous y retrouver au milieu de toutes ces abréviations ? Vous trouverez ci-après notre glossaire auquel nous avons ajouté les définitions qui nous semblaient pertinentes. Sachez également que GlobalSign propose un portefeuille de solutions d'identité et de sécurité particulièrement robustes qui peuvent vous aider dans vos démarches de mise en conformité ou pour protéger vos informations les plus précieuses. Pour en savoir plus, contactez-nous dès maintenant.
Glossaire des termes de la DSP2
2FA Two-Factor-Authentication, Authentification à deux facteurs
AISP Account Information Service Provider, Fournisseur de services d'information sur les comptes — ou « Agrégateur »
AMS Account Management System, Système de gestion des comptes
API Application Programming Interface, Interface de programmation d’applications
ASPSP Account Service Payment Service Provider, Prestataire de services de paiement gestionnaire de comptes
CBPII Card-based Payment Instrument Issuer, Émetteur d'instruments de paiement par carte
CMA Competition and Markets Authority, Autorité de la concurrence britannique
CSC Common and Secure Open Standards of Communication, Normes ouvertes communes et sécurisées de communication
ABE Autorité bancaire européenne
eIDAS Règlement européen sur l'identification électronique et les services de confiance et d’authentification
UE Union européenne
EUTL European Union Trusted Lists, Listes de confiance de l’Union européenne
RGPD Règlement général sur la protection des données
ANC Autorité nationale compétente
PISP Payment Initiation Service Provider, Fournisseur de services d'initiation de paiement
DSP2 Directive sur les services de paiement 2, directive révisée de la directive sur les services de paiement
PSP Prestataires de services de paiement
QSealC Qualified Electronic Seal Certificate, Certificat qualifié de cachet électronique
QTSP Qualified Trust Service Provider, Prestataire de services de confiance qualifié (PSCQ ou PSCo qualifié)
QWAC Qualified Web Authentication Certificate, Certificat qualifié d’authentification de site Internet
RTS Regulatory Technical Standards, Normes techniques de réglementation
NTR Normes techniques de réglementation
SCA Strong Customer Authentication, Authentification forte du client
SEPA Single Euro Payments Area, Espace unique de paiement en euros
TPP Third Party Provider, Prestataire tiers
XS2A Access to Account, Accès aux comptes
