Stabilité et sécurité

Pourquoi la stabilité et la sécurité sont-elles importantes pour les paiements open banking ?

L'open banking est entré en vigueur en Europe en 2018, et si la technologie qui alimente les paiements open banking a considérablement progressé depuis, elle fait l'objet de nombreuses modifications et améliorations.

Si vous souhaitez proposer des paiements open banking à vos clients, deux éléments sont essentiels dans le choix du prestataire : des API stables, c'est-à-dire disponibles quasiment en permanence, et une sécurité très robuste qui minimise le risque de cyberattaques contre votre entreprise et vos clients. De plus, votre prestataire doit constamment tester, corriger les erreurs et les anomalies, effectuer des mises à jour de ses propres produits et des API des banques auxquelles il connecte ses technologies, afin que l'expérience utilisateur de votre nouveau mode de paiement reste agréable à long terme.

Vous pouvez évaluer la stabilité à l'aide des critères suivants :

Page web détaillant l'état de l'API

Le prestataire de votre choix doit indiquer de façon précise le temps de disponibilité de chaque API sur une page web accessible au public.  Certains prestataires ne fournissent des données que par tranches d'heures, d'autres sur une base quotidienne. Il est aussi important de consulter l'historique des statuts. Cela vous permet de déterminer la constance de la disponibilité des API du prestataire et la durée des éventuels temps d'arrêt ou pannes.

Temps d'arrêt minimal

Même les API les plus stables peuvent tomber en panne. Votre prestataire doit toutefois communiquer clairement les incidents et la cause de l'indisponibilité pendant une période donnée. Par exemple, en fournissant des informations telles que celles-ci :

• Une maintenance planifiée ou un problème inattendu en sont-ils la cause ?

• Combien de temps a-t-il fallu pour détecter le problème ?

• Combien de temps a-t-il fallu pour le résoudre ?

• Combien de clients finaux ont été affectés ?

• Comment les clients finaux ont-ils été informés du problème ?

• Quelles mesures ont été prises pour prévenir le problème à l'avenir ?

Méthodologie de test et de suivi claire pour les API bancaires

Votre prestataire peut contrôler la disponibilité de ses propres services, mais il ne peut pas influencer directement les API des banques. Et comme nous l'avons vu dans la section Champ d'application, il existe des différences considérables à cet égard.

Cela dit, le prestataire de votre choix doit avoir un processus clair pour tester les API des différentes banques auxquelles il connecte ses technologies. Ainsi, si certaines banques d'un pays donné sont essentielles à votre offre de paiement, il est important de trouver un prestataire capable de traiter régulièrement de gros volumes de requêtes via les API de ces banques et de leur fournir un retour d'information clair concernant des éventuelles améliorations.

Processus complet de sécurité de l'information

Il est également essentiel de protéger vos propres données ainsi que les données financières de vos clients. Pour cela, votre prestataire de paiement open banking doit proposer :

• une approche cohérente de la modélisation des menaces afin de corriger les vulnérabilités et les failles de sécurité potentielles ;

• une équipe dédiée aux questions de sécurité ;

• un programme de sécurité conforme aux normes (par exemple, à la norme ISO 27001) ;

• une vérification du programme de sécurité par un organisme d'audit indépendant ;

• une méthodologie de gestion des versions clairement définie ;

• un suivi des développements externes pertinents et une réalisation de tests selon les mêmes normes que pour les fonctionnalités internes ;

• un programme de tests d'intrusion de l'infrastructure interne par des organismes indépendants.

Sur ces points, il est difficile de définir des priorités claires. Il est préférable d'évaluer les procédures de sécurité de votre prestataire potentiel en fonction de la manière dont il aborde l'ensemble de ces questions.