Pourquoi la stabilité et la sécurité sont-elles importantes pour les paiements open banking ?
L'open banking est entré en vigueur en Europe en 2018, et si la technologie qui alimente les paiements open banking a considérablement progressé depuis, elle fait l'objet de nombreuses modifications et améliorations.
Si vous souhaitez proposer des paiements open banking à vos clients, deux éléments sont essentiels dans le choix du prestataire : des API stables, c'est-à-dire disponibles quasiment en permanence, et une sécurité très robuste qui minimise le risque de cyberattaques contre votre entreprise et vos clients. De plus, votre prestataire doit constamment tester, corriger les erreurs et les anomalies, effectuer des mises à jour de ses propres produits et des API des banques auxquelles il connecte ses technologies, afin que l'expérience utilisateur de votre nouveau mode de paiement reste agréable à long terme.
Vous pouvez évaluer la stabilité à l'aide des critères suivants :
Page web détaillant l'état de l'API
Le prestataire de votre choix doit indiquer de façon précise le temps de disponibilité de chaque API sur une page web accessible au public. Certains prestataires ne fournissent des données que par tranches d'heures, d'autres sur une base quotidienne. Il est aussi important de consulter l'historique des statuts. Cela vous permet de déterminer la constance de la disponibilité des API du prestataire et la durée des éventuels temps d'arrêt ou pannes.
Demandez à votre prestataire
Proposez-vous un site web public sur l'état des API ?
Temps d'arrêt minimal
Même les API les plus stables peuvent tomber en panne. Votre prestataire doit toutefois communiquer clairement les incidents et la cause de l'indisponibilité pendant une période donnée. Par exemple, en fournissant des informations telles que celles-ci :
Une maintenance planifiée ou un problème inattendu en sont-ils la cause ?
Combien de temps a-t-il fallu pour détecter le problème ?
Combien de temps a-t-il fallu pour le résoudre ?
Combien de clients finaux ont été affectés ?
Comment les clients finaux ont-ils été informés du problème ?
Quelles mesures ont été prises pour prévenir le problème à l'avenir ?
Demandez à votre prestataire
Quel était votre temps de fonctionnement au cours de la [période] précédente ?
Méthodologie de test et de suivi claire pour les API bancaires
Votre prestataire peut contrôler la disponibilité de ses propres services, mais il ne peut pas influencer directement les API des banques. Et comme nous l'avons vu dans la section Champ d'application, il existe des différences considérables à cet égard.
Cela dit, le prestataire de votre choix doit avoir un processus clair pour tester les API des différentes banques auxquelles il connecte ses technologies. Ainsi, si certaines banques d'un pays donné sont essentielles à votre offre de paiement, il est important de trouver un prestataire capable de traiter régulièrement de gros volumes de requêtes via les API de ces banques et de leur fournir un retour d'information clair concernant des éventuelles améliorations.
Demandez à votre prestataire
Quel processus utilisez-vous pour tester la qualité des API des banques et leur transmettre les résultats ?
Processus complet de sécurité de l'information
Il est également essentiel de protéger vos propres données ainsi que les données financières de vos clients. Pour cela, votre prestataire de paiement open banking doit proposer :
une approche cohérente de la modélisation des menaces afin de corriger les vulnérabilités et les failles de sécurité potentielles ;
une équipe dédiée aux questions de sécurité ;
un programme de sécurité conforme aux normes (par exemple, à la norme ISO 27001) ;
une vérification du programme de sécurité par un organisme d'audit indépendant ;
une méthodologie de gestion des versions clairement définie ;
un suivi des développements externes pertinents et une réalisation de tests selon les mêmes normes que pour les fonctionnalités internes ;
un programme de tests d'intrusion de l'infrastructure interne par des organismes indépendants.
Sur ces points, il est difficile de définir des priorités claires. Il est préférable d'évaluer les procédures de sécurité de votre prestataire potentiel en fonction de la manière dont il aborde l'ensemble de ces questions.
Demandez à votre prestataire
Quelle est votre approche de la sécurité de l'information ? Pouvez-vous nous décrire vos procédures relatives au développement, à la sécurité et à l'exploitation ?
Les systèmes TrueLayer fonctionnent avec un temps de disponibilité supérieur à 99,9 % et vous pouvez consulter la disponibilité des API en direct sur notre page d'état. Nous testons régulièrement toutes les API des banques européennes auxquelles nos systèmes sont connectés, avec de gros volumes de requêtes, afin d'identifier les erreurs avec précision. Nous communiquons ensuite les résultats aux banques concernées.
Le développement de logiciels est entièrement réalisé en interne et nous disposons de notre propre équipe d'experts pour garantir la sécurité de l'information. Nous avons obtenu la certification ISO 27001.
Une équipe d'ingénierie chargée du développement de nos systèmes et de la disponibilité de nos services est également disponible 24h/24 et 7j/7. Si nos structures de surveillance détectent un problème potentiel dans un ou plusieurs de nos systèmes, un membre de l'équipe reçoit une notification afin d'examiner le cas et de prendre des mesures correctives si nécessaire. Cette couverture 24h/24 et 7j/7 garantit un impact minimal et une résolution rapide de toute perte de service.