En ce qui concerne les paiements en ligne et le traitement des cartes de crédit, les détaillants de l'UE se sont vu accorder une suspension. La directive révisée sur les services de paiement de l'Union européenne, connue sous le nom de PSD2, a prolongé sa période de conformité jusqu'en mars 2021, laissant les détaillants et les banques en sécurité pendant que la législation reste dans l'incertitude. Et pourtant, une prolongation du délai ne signifie pas que les entreprises peuvent se reposer sur leurs lauriers. Les consommateurs, les gouvernements et les développeurs s'attendent à ce que les banques et autres services soient prêts à se conformer, idéalement avant la date limite de mars 2021.
À propos de l'auteur Subho Halder est le co-fondateur et CTO d'Appknox. Plus important encore, les pirates sont conscients de cette faille de vulnérabilité. La réglementation PSD2 vise à accroître la concurrence et à offrir plus de choix aux consommateurs, mais également à fournir une sécurité supplémentaire pour les informations bancaires vitales. Laisser ces informations non sécurisées est une incursion risquée pour les criminels. Voyons où nous en sommes aujourd'hui avec ces normes et comment les entreprises impliquées dans le commerce électronique peuvent mettre en œuvre les meilleures pratiques SecDevOps dans leur conformité PSD2.
1: état de l'API
En mars 2019, 41 % des banques de l'UE ne se conformaient toujours pas aux futures normes PSD2. Bien que ce soit moins de la moitié et que les pourcentages exacts varient selon les pays, la principale raison pour laquelle les banques traînent les pieds reste la même : les tests API. La nécessité pour les banques de créer des API pour les données de paiement transactionnelles figure principalement dans la liste de contrôle de conformité PSD2. Ces API doivent fournir un accès en temps réel, une surveillance des fraudes, une authentification utilisateur multifactorielle et une analyse du comportement des utilisateurs, entre autres. Avec toutes ces fonctionnalités, il n'est pas difficile de comprendre pourquoi certaines institutions ont mis du temps à se conformer. Cependant, ces API deviendront le fondement des transactions financières numériques tout au long des années 2020 et au-delà. Les entreprises et les fournisseurs de services financiers utiliseront les API bancaires pour fournir leurs propres systèmes de paiement, créant éventuellement leurs propres API pour utiliser pleinement les données de paiement et de comportement. En fait, les banques elles-mêmes pourraient également devenir des fournisseurs tiers (TPP), à la fois en créant et en utilisant les API d'autres parties. L'effet attendu de cette concurrence accrue est d'offrir plus de choix aux consommateurs et donc des prix plus bas, un objectif noble pour tout organisme gouvernemental à l'esprit citoyen. À première vue, les normes PDS2 peuvent réellement améliorer la confiance et la sécurité dans les transactions financières numériques. Cela soulève la question de savoir comment les banques créent leurs API et qui finit par les utiliser. Et comme.
2. Sécurité contre la fraude: ce que les consommateurs et les institutions doivent savoir
Au cœur de PDS2 se trouvent les API que les banques créeront pour fournir des services aux TPP. La sécurité est primordiale lorsque les banques créent des API : elles ont un accès immense à nos données financières les plus vitales. Tous les détails qui se retrouvent entre les mains de personnages peu fiables sont sujets à un désastre. Comme nous l'avons noté, une grande partie de la discussion s'est jusqu'à présent concentrée sur ces API bancaires. Moins d'attention a été accordée à ce que les PPT et d'autres institutions pourraient finir par faire avec leurs propres API. En d'autres termes, quelles sont les règles de sécurité pour les PPT ? La vérité est que très peu. TPP a un avantage majeur et un défaut majeur par rapport à PDS2, qui est un dans le même. D'une part, les TPP ne sont pas soumis aux mêmes réglementations strictes que les banques. C'est l'un des principaux moteurs du PDS2 : permettre à ces TPP d'offrir des options de paiement signifie plus de flexibilité pour les consommateurs. Ils ne sont pas non plus liés à la même infrastructure informatique héritée que de nombreuses banques. Cependant, cette mobilité accrue a un coût. Si un TPP ne nécessite pas autant de rigidité pour démarrer le traitement des transactions, cela signifie-t-il que sa sécurité est également moins stricte ? Comment les consommateurs savent-ils si leur nouveau fournisseur de paiement gère la sécurité de leurs données ?
3: Définition des meilleures pratiques dans PDS2
Premièrement, les PPP doivent être conscients des risques auxquels ils sont confrontés. Les attaques frauduleuses, où des utilisateurs malveillants créent de faux anneaux de compte pour exploiter divers avantages, ont augmenté de 26 % l'année dernière, alors même que de plus en plus de banques mettent en œuvre 2FA et d'autres solutions pour lutter contre ces crimes. Dans une certaine mesure, les PPT peuvent améliorer la sécurité des données des clients. Ils peuvent partager des informations entre eux ou avec les banques dont ils utilisent les API. Les TPP avec des protocoles de sécurité plus solides ont un meilleur argument de vente pour les nouveaux clients : le type exact de concurrence que PDS2 est censé provoquer. Dans le même temps, de nouveaux défis doivent être relevés avant qu'une violation ne se produise. D'une part, le suivi des API utilisées est essentiel. L'API de chaque banque sera constamment vérifiée car de nombreux TPP s'appuieront sur elle pour fournir des services à leurs clients. Les API créées par ces fournisseurs tiers seront moins rigoureusement testées. En tant que tel, SecDevOps devient le gardien entre la sécurité financière et les abus des pirates. Chaque partie peut prendre un certain nombre de mesures maintenant pour assurer la sécurité de PSD2 plus tard. Tout d'abord, il est indispensable de faire l'inventaire des API déjà utilisées. Les API fantômes, c'est-à-dire les API auxquelles les développeurs ont accordé l'accès et qu'ils ont ensuite oubliées, facilitent le piratage des points d'entrée. Les supprimer avant de mettre en œuvre PSD2 ouvre la voie à une meilleure sécurité globale. Pour l'instant, les commerçants, les banques et les futurs PPT ont plus d'un an pour se conformer à PSD2. Atteindre cet objectif ne signifie pas seulement respecter la loi. Toute institution cherchant à fournir la meilleure qualité de service dans un nouvel environnement numérique doit faire de la sécurité une préoccupation majeure. Heureusement pour eux, cela a du sens sur le plan commercial. Les consommateurs se tournent naturellement vers l'entreprise qui compte le plus pour eux. En matière de sécurité des données financières, le meilleur l'emportera toujours.