Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

SOMMAIRE
  • SOMMAIRE

Certificats DSP2 : la solution pour un écosystème Open Banking de confiance ?

certificats dsp2

DSP2 : un niveau de sécurité accru pour le services de paiement

DSP2 : un niveau de sécurité accru pour le services de paiement

La Directive sur les Services de Paiement 2 (DSP2) est en application depuis le 13 janvier 2018. Elle vise à harmoniser la réglementation sur les paiements au sein de l’Union européenne (UE). Elle doit permettre d’élargir et d’améliorer le choix des consommateurs sur le marché des paiements de détail. Dans le même temps, elle instaure des normes de sécurité plus strictes pour les paiements en ligne.

DSP1 : une première étape

DSP1 : une première étape

DSP2 est la deuxième version d’une directive européenne adoptée en 2007 et transposée en droit français en juillet 2009. La DSP1 a introduit un changement important dans le monde de la banque. En effet, l’entrée en vigueur de la directive est une opportunité pour les organismes qui ne sont pas des banques. Ils ont la possibilité de proposer la fourniture de certains moyens de paiement. Par exemple les cartes, virements, portes monnaies électroniques, services de paiement par le téléphone ou par internet, etc.

La nouvelle version de la directive (DSP2) vise à harmoniser davantage la réglementation sur les paiements. Pour cela, elle prend en compte les avancées technologiques. Elle introduit notamment de nouvelles exigences en matière de sécurité. Pour l’initiation, le traitement des paiements électroniques, ainsi que la protection des données financières des consommateurs.

Qu’est ce qui change avec la DSP2 ?

Qu’est ce qui change avec la DSP2 ?

DSP2 porte sur trois sujets principaux, à commencer par le renforcement des droits des consommateurs. Cela concerne notamment le remboursement sans délai des opérations contestées ou encore l’interdiction des surfacturations. Le second volet touche quant à lui l’authentification forte pour la consultation des comptes et les opérations de paiement électronique.

L’authentification forte est la combinaison de deux facteurs d’authentification. Cela peut être plus, mais pas moins. Les méthodes sont parmi les trois catégories suivantes : possession, connaissance et inhérence.

  • Possession : smartphone, appareil connecté, etc
  • Connaissance : mot de passe, question secrète, etc
  • Inhérence : empreinte digitale, reconnaissance faciale, etc

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. C’est ce qui la différencie d’une authentification dite « faible ». Contrairement à elle, elle participe à la création d’une identité qui réduit les risques d’usurpation. Cela rend les transactions électroniques plus sûres.

DSP2 : ouvrir le marché à de nouveaux acteurs

DSP2 : ouvrir le marché à de nouveaux acteurs

Le troisième sujet sur lequel porte DSP2 concerne les communications sécurisées entre les banques et des services tiers. En effet, le champ d’application de la directive s’étend aux services de paiement innovants et aux nouveaux fournisseurs sur le marché, tels que les sociétés de technologie financières (les Fintechs).

La directive européenne réglemente les prestataires de services de paiement tiers (PSP tiers). Ils peuvent accéder aux comptes, agréger leurs données et initier les services de paiement. Cet élément est une véritable révolution pour le marché des paiements. La DSP2 cherche ainsi à favoriser la concurrence, la transparence et l’innovation.

Les PSP tiers comprennent :

  • Les Prestataires de Services d’Initiation de Paiement (PSIP) qui offrent d’initier les paiements pour le compte de clients, donnant ainsi l’assurance aux détaillants que l’argent est en route.

  • Les agrégateurs et Prestataires de Services d’Information sur les Comptes (PSIC) qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles.

Donner accès aux données via un canal de communication sécurisé

Donner accès aux données via un canal de communication sécurisé

DSP2 prévoit que les commerçants, les fintechs et les banques puissent communiquer via des API (Interface de Programmation Applicative). En ce qui concerne les banques, elles devront donc proposer ce canal de communication sécurisé. Et cela d’ailleurs aux prestataires de services de paiement tiers souhaitant agréger les données des comptes bancaires. Ainsi qu’initier des services de paiement. Cela permettra de renforcer la collaboration entre eux. Mais également d’améliorer l’interopérabilité entre les institutions financières et les nouveaux acteurs de la banque et du paiement.

Les API doivent être mises en place par les banques dans le respect des standards techniques (RTS -Regulary Technical Standards). L’Autorité Bancaire Européenne (ABE) était chargée de la rédaction de ces normes techniques. La Commission européenne les a ensuite validées. Le Journal officiel de la Commission européenne a publié le règlement européen relatif aux normes techniques réglementaires. Les mesures de sécurisation des données spécifiées par ces RTS sont applicables depuis septembre 2019.

Les certificats eIDAS DSP2, pour renforcer la sécurité

Les certificats eIDAS DSP2, pour renforcer la sécurité

Pour assurer le niveau de sécurité requis par la DSP2, les banques et les PSP doivent s’équiper de deux certificats électroniques :

  • Le certificat eIDAS QWAC (Qualified Website Authentication Certificate) qui permet aux serveurs d’un PSP et d’une banque de s’authentifier mutuellement et de maintenir les communications chiffrées.
  • Le certificat eIDAS Qseal (Qualified electronic Seal Certificate) qui permet aux serveurs d’un PSP et d’une banque de sceller le contenu d’une transaction.

Ces certificats permettent aux banques et aux prestataires de services de paiement de sécuriser les transactions, de protéger les données de comptes de paiement tout en garantissant la conformité avec la directive européenne. En outre, sécuriser les transactions entre les banques et les PSP permet d’assurer la traçabilité des échanges et de garantir une authentification mutuelle entre les deux parties.

Pourquoi des certificats eIDAS dans la DSP2 ?

Pourquoi des certificats eIDAS dans la DSP2 ?

Les certificats qualifiés eIDAS fournissent le plus haut niveau de garantie et de sécurité. Ils permettent d’obtenir un certain nombres d’informations comme le numéro d’agrément délivré par l’autorité nationale compétente (ACPR pour la France). Autre élément très important : ces certificats mettent en exergue les rôles tenus par les entités (services d’initiation de paiement, services d’initiation de paiement, services d’information sur les comptes et/ou émission d’instruments de paiement).

Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire un prestataire de services de confiance qualifié eIDAS ayant été auditée pour la norme ETSI TS 119 495. Le règlement eIDAS s’applique à l’identification électronique, aux services de confiance et aux documents électroniques. L’enjeu du règlement eIDAS est de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance.

Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union Européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Il couvre notamment le sujet de la signature électronique et abroge la directive 1999/93/CE. L’ANSSI est l’organisme chargé de la mise en œuvre de ce règlement en France. eIDAS est applicable depuis le 1er juillet 2016 pour la majorité de ses dispositions, incluant celles relatives aux « services de confiance ».

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Qu’entend-on par prestataire de confiance au sens d’eIDAS ?

Un prestataire de services de confiance qualifié est un prestataire de services de confiance offrant au moins un service de confiance qualifié. Le règlement européen formule des exigences générales applicables à l’ensemble des prestataires de services de confiance qualifiés, ainsi que des exigences spécifiques à chaque service de confiance qualifié.Un prestataire de services de confiance qualifié doit avoir fait l’objet d’une évaluation de la conformité aux exigences du règlement, avoir obtenu son statut qualifié de l’organe de contrôle désigné par l’Etat membre dans lequel il est établi, et être identifié sur la liste de confiance avant de pouvoir commencer à fournir des services qualifiés.

Construire un écosystème Open Banking

Construire un écosystème Open Banking

Avec les nouvelles règles mises en place par DSP2, les acteurs du paiement peuvent désormais construire un écosystème Open Banking qui offre un niveau de sécurité élevé, facilite l’interopérabilité tout en préparant les services de demain.

« L’Open Banking fait enfin apparaitre de nouveaux standards pour l’octroi de crédit et l’accompagnement du consommateur dans sa gestion bancaire et ses finances. Les nouvelles règles permettront notamment de mieux protéger les consommateurs lorsqu’ils effectuent des paiements. Elles encourageront le développement et l’utilisation de modes de paiement mobiles et en ligne innovants et elles rendront les services européens de paiement plus sûrs », a déclaré Béatrice Larregle, Présidente France et Benelux d’Experian, dans une tribune publiée dans Les Echos début 2019.

Les deux types de certificats nécessaires dans le cadre de la DSP2 sont délivrés par des QTSP (Qualified Trust Services Providers). Ce sont des autorités de certification, comme CertEurope – An InfoCert Company, reconnues par l’Europe pour délivrer des certificats eIDAS.

CertEurope – An InfoCert Company est la première autorité de certification en France et Tiers de Confiance, conforme à la réglementation eIDAS, référencé sur la « Trust List » des prestataires qualifiés eIDAS autorisés à fournir des certificats QWAC et QSEAL, ainsi que sur la liste des QSTP de l’Open Banking Europe. 

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Icona Top