La DSP2 a plusieurs objectifs:
- amélioration de la sécurité des paiements électroniques
- protection des informations financières des consommateurs
- ouverture du marché aux prestataires de services de paiement, notamment en matière de services pour les consommateurs et les entreprises
- renforcement des droits des consommateurs, par exemple en termes de responsabilité en cas d’opérations de paiements non autorisés et de remboursement de prélèvements en euros
- interdiction de facturation de frais supplémentaires, quel que soit l’instrument de paiement
Les trois piliers d’une authentification forte sont possession, inhérence et savoir. Au moins deux de ces critères doivent être fournis aux utilisateurs pour l’authentification EBICS. Une carte à puce (possession) peut par exemple servir de clé EBICS pour permettre une authentification par saisie de code PIN (savoir) via un lecteur de carte à puce. Dans l’interface avec l’utilisateur, cela doit donc être réalisé par le Client.
Outre les procédés EBICS d’identification et d’authentification unique de la personne, la banque peut également prévoir des vérifications supplémentaires (inhérence) et vérifier par exemple si les adresses IP convenues sont bien utilisées pour la communication. Une adresse IP inadéquate empêche alors l’accès, même si l’authentification est correcte.
EBICS assure la dynamique d’authentification exigée grâce à la procédure de signature électronique car la signature est toujours créée au moyen de la valeur de hachage du fichier original et d’un horodatage.
Par ailleurs, la fonctionnalité EBICS de signature électronique distribuée (SED aussi appelée VEU en Allemagne) permet, du côté des utilisateurs des services de paiement, de séparer les infrastructures pour les remises de paiements et les autorisations. Par exemple, la remise de paiement peut avoir lieu par EBICS sans autorisation sur un guichet automatique et les autorisations requises, elles, postérieurement par application mobile, sur portail EBICS ou avec quelque autre logiciel Client EBICS (séparation dans le temps et dans l’espace). En outre, les conditions d’autorisation peuvent exiger l’implication de plusieurs personnes. Cette fonction est déjà utilisée par les solutions EBICS que sont les portails EBICS, les solutions de navigateur EBICS, les Clients mobiles EBICS ainsi que les autres logiciels Clients EBICS. Il convient de proposer et d’utiliser systématiquement ces techniques pour la DSP2.
Ouvrir le marché des paiements aux prestataires de services de paiement implique que les banques doivent accorder aux applications de fournisseurs tiers l’accès aux données client, si ce dernier donne son accord. Pour mettre en œuvre cette exigence, des interfaces sont nécessaires. Le standard EBICS fournit sa propre interface. Si le fournisseur tiers ne peut pas obtenir les informations directement via l’accès EBICS standard, des API rapides et flexibles capables d’échanger les données requises en fonction des besoins deviennent nécessaires. Dans ce cadre, homogénéité et multi-usage sont souhaitables.
Dans la pratique, les activités des utilisateurs et en particulier les autorisations pour applications de e-banking et de paiements sont d’ores et déjà enregistrées. Cependant, le renforcement des droits des consommateurs visé par la DSP2 demande aux prestataires de services et aux banques de consigner et conserver les processus de paiement et les autorisations, dans le contexte des utilisateurs, de façon aussi intégrale que possible ainsi que de manière traçable et justifiable. Dans le contexte d’EBICS, cela s’applique aux banques, mais également aux fournisseurs de services qui exploitent par exemple des applications Client EBICS.
En résumé, la DSP2 n’a pas, pour l’instant, d’impact direct sur les spécifications d’EBICS. Néanmoins, les utilisateurs d’EBICS doivent tenir compte de la DSP2 dans leur contexte d’utilisation. Les exigences de la DSP2 doivent donc être définies et mises en œuvre précocement pour l’exploitation et l’utilisation de solutions EBICS. Le temps est compté.
Michael Lembcke
0 commentaires:
Enregistrer un commentaire