Grand moment lors du groupe d’utilisateurs TRAVIC 2022 - Payments-as-a-Service en double exemplaire

Après une pause forcée de trois ans, le groupe d’utilisateurs TRAVIC a enfin pu se réunir en présentiel. Les nouveautés relatives à la gamme de produits TRAVIC et les ateliers liés aux produits ont été présentés et les besoins et les questions ont été abordés en profondeur dans un cadre commun. Mais ce n’est pas tout : les très attendus présentateurs invités, Alexander Merkel (Deutsche Bundesbank) et Nico Frommholz (Hamburg Commercial Bank), ont attiré l’attention. M. Merkel a souligné le status quo et osé regarder plus loin que le bout de son nez en mettant en lumière les attentes, les chances et les risques à ne pas perdre de vue dans le domaine des « crypto-monnaies / euro numérique ». M. Frommholz, directeur des opérations de paiement, a abordé le sujet principal des Payments-as-a-Service avec son discours « SEPA est live » – un sujet que PPI AG met de plus en plus au centre de ses intérêts et qui, en plus d’EBICS, l’anime et le fait avancer avec force enthousiasme.

Avec le lancement de HCOB, PPI AG a réussi à combler une lacune importante sur le marché Payments-as-a-Service. Mais il y a bien mieux : pour son expansion dans l’espace européen, la banque directe en ligne britannique Revolut mise sur la solution d’échange de données TRAVIC-Interbank et également sur le modèle Payments-as-a-Service – basé sur le cloud et proposé par PPI AG. La néobanque Revolut, fondée à Londres en 2015, compte actuellement environ 18 millions de clients privés utilisant l’application financière de l’entreprise. En janvier 2022, Revolut a lancé son offre de services bancaires en Allemagne et dans neuf autres pays européens. Pour développer sa stratégie offensive sur le marché de l’UE, Revolut a besoin, en tant que banque non européenne, d'une connexion à la European Banking Authority (EBA) ainsi que d’une connexion technique à l’EBA Clearing – notamment au système de paiement en temps réel RT1 pour les paiements instantanés SEPA et à la plateforme STEP2 pour les paiements SEPA réguliers. Cette connexion est réalisée par la solution d’échange de données TRAVIC-Interbank ainsi que par le modèle Payments-as-a-Service.

La société de conseil et de logiciels hambourgeoise PPI AG devient ainsi un prestataire de services complet dans le domaine des paiements européens. La solution Payments-as-a-Service enrichit les secteurs du conseil et des produits logiciels d’une offre globale et complète ainsi le portefeuille de prestations de l’entreprise hambourgeoise. Avec ses équipes de conseillers spécialisés et sa gamme de produits TRAVIC, PPI se classe ainsi parmi les leaders européens du marché des paiements. « Nous sommes désormais en mesure d’offrir Payments-as-a-Service aux institutions financières pour le traitement entier des paiements. Les institutions peuvent ainsi décharger leurs services informatiques, utiliser leurs ressources de manière efficace et améliorer ainsi leur compétitivité », a constaté Dr. Thorsten Völkel, directeur général de PPI AG. Un exemple concret qui montre que la gamme de produits TRAVIC n’est pas seulement la solution logicielle centrale pour cela, mais qu’elle constitue surtout l’avenir pour une plateforme de paiements standardisée, multi-banques, moderne et hébergée pour le marché bancaire européen ! Avec ces prestations, PPI AG permet aux institutions financières et aux compagnies d’assurance d’exploiter des chaînes entières de création de valeur en tant que Software-as-a-Service. Le portefeuille modulaire s’étend depuis la mise à disposition et de l’exploitation de l’infrastructure informatique jusqu’à de multiples services et il enthousiasme non seulement en raison de son caractère international, de sa complexité technique, mais aussi et surtout au niveau de la conformité et de la légalité.

Ces succès illustrent bien ce qui nous unit : la passion pour l’excellence en matière de logiciels et de conseils de paiement. Nous sommes très heureux d’avoir concrétisé cette aspiration avec le groupe d’utilisateurs 2022. Comme nous l’avons tous appris, l’échange d’expériences et de solutions aux problèmes lors de réunions et d’appels numériques a été une évidence. Mais c’est justement l’inspiration mutuelle et collective dont bénéficie depuis toujours le développement des produits TRAVIC, marquée par des échanges vivants, animés et en face à face, qui nous a manqué. Nous étions donc d’autant plus heureux de pouvoir renouer solennellement avec ces étroites collaborations et d’honorer pendant deux jours la clientèle estimée de PPI avec un programme bien rempli et varié : depuis la présentation des nouvelles versions des produits TRAVIC aux discussions approfondies avec les clients dans le cadre des ateliers spécifiques aux produits, en passant par les cas d’utilisation et les derniers témoignages d’expérience.

Auteur : Andreas Löwe

 

Vérification des certificats EBICS en France sans prestataires tiers de confiance

Certificat électronique et applications
Le certificat électronique est un élément essentiel dans la construction des espaces de confiance ; il permet à son porteur de s’authentifier (certificat d’authentification), de signer (certificat de signature), d’établir une liaison sécurisée … Une application va s’appuyer sur un certificat comme moyen d’identification de son porteur et de contrôle de l’intégrité des informations, dans des fonctions de contrôle d’accès ou de signature. Il existe aujourd'hui de nombreux émetteurs de certificats (secteur bancaire, administration, entreprises…).

Les applications de dématérialisation des flux sont multiples et concernent l’ensemble des secteurs de l’économie. Elles supposent la mise en œuvre d’espaces de confiance dans lesquels il faut pouvoir identifier et authentifier techniquement les différents acteurs et valider la qualité des transactions et de leurs émetteurs.
 
Une application doit pouvoir accepter, en général, des certificats de différentes autorités de certification ; dans un monde ouvert, il serait, en effet, à la fois trop coûteux et trop restrictif de demander à un même porteur d’obtenir un certificat par application.

EBICS et les certificats signés
Pour communiquer avec les institutions financières, les participants EBICS disposant du profile T ou TS doivent utiliser des certificats X.509. Si le participant utilise des certificats signés par une autorité de certification (AC), ceux-ci doivent être validés lors du téléchargement des clés et, si nécessaire, pour les ordres de type FUL, par exemple. Les types d’ordre pour la soumission et la modification des certificats (INI, HIA, H3K, PUB, HCA et HCS) prennent en charge les certificats uniques et les chaînes de certificats.

Validation du certificat basé sur l'AC
La validation du certificat basé sur l'AC peut être effectuée de manière externe ou interne (pour EBICS TS). Il est dorénavant possible de vérifier les certificats soumis en interne dans TRAVIC-Corporate. Pour cela, les notes de la liste de révocation sont vérifiées à l'aide des listes de révocation de certificats (CRL). Les listes de révocation de certificats doivent être téléchargées depuis Internet. Pour télécharger les listes de révocation de certificats de SWIFT, un certificat client est généralement requis pour la communication TLS.

Interface de vérification des certificats internes de TRAVIC-Corporate pour EBICS TS
L'interface provider de TRAVIC-Corporate offre, entre autres paramètres, la vérification des certificats, une stratégie de mise en cache, le stockage des fichiers de non-répudiation et la vérification préliminaire des autorisations ES (EBICS TS), conformément aux spécifications du CFONB. Le provider peut être spécifié à partir du nom de sa classe et activé.

Les certificats sont validés par rapport à un truststore stocké dans TRAVIC-Corporate. La chaîne de certificats complète est validée respectivement jusqu'au certificat racine valide. Aucun service externe n'est utilisé pour valider les certificats.

Un serveur job et un analyseur syntaxique, composants de TRAVIC-Corporate, orchestrent ce traitement. L’ordre de paiement est alors validé si le profil de signature du participant EBICS correspond au profil de signature configuré au niveau du type d’ordre du client.

L’établissement financier peut alors se reposer exclusivement sur sa solution TRAVIC-Corporate sans recours à un tiers simplifiant ainsi son architecture et réduisant ses coûts.

Zaher Mahfouz

Sources : PPI TRAVIC-Corporate, CFONB, standards X.509