LIVRE BLANC

Délestage et simplification de la conformité à la DSP2 par Akamai et Raidiam

1Délestage et simplification de la conformité à la DSP2

Table des matières

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 02

L'aide apportée par Akamai et Raidiam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 02

Nouveaux défis et nouvelles opportunités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 03

Fourniture d'accès à des tiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 03

Identité, consentement et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 03

Identité du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 04

Consentement et autorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 04

Authentification forte du client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 05

Gouvernance des API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 05

TLS mutuel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 06

Modèle de maturité DSP2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 07

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09

Informations complémentaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2Délestage et simplification de la conformité à la DSP2

IntroductionLa Directive révisée sur les services de paiement (DSP2), et l'Open Banking, la mise en œuvre au Royaume-Uni du DSP2, exigent des institutions financières qu'elles ouvrent leur infrastructure de paiement, afin de permettre à des prestataires tiers d'accéder aux données relatives aux comptes bancaires de leurs clients . Les organismes de réglementation ont mis en place cette initiative afin de faciliter l'innovation, la concurrence et l'efficacité des services financiers en permettant à des prestataires tiers de fournir aux utilisateurs des services de paiement et des informations sur leurs comptes .

La DSP2 est une exigence réglementaire, mais elle offre également aux institutions financières la possibilité d'acquérir un avantage concurrentiel en permettant une expérience utilisateur de qualité et des services financiers axés sur le client . La conformité à la DSP2 soulève de nouveaux défis techniques et nécessite des contrôles de sécurité renforcée pour garantir que les données sensibles ne sont pas mises en danger, mal utilisées ou partagées de manière inappropriée .

Le présent livre blanc fournit aux responsables technologiques des grandes entreprises une vue d'ensemble des exigences, défis et opportunités soulevés par la conformité à la DSP2, ainsi qu'une feuille de route pour optimiser les mises en œuvre .

L'aide apportée par Akamai et RaidiamLes solutions Akamai aident les institutions financières à se conformer à la DSP2 en améliorant l'expérience client, la stabilité des applications et les contrôles de sécurité . Les entreprises choisissent les outils les mieux adaptés à leurs besoins et la solution s'intègre facilement aux environnements cloud, sur site et hybrides pour un coût total de possession réduit .

Raidiam est un spécialiste de la gestion des identités qui fournit des services de transformation digitale axés sur l'identité des clients et de l'IoT . Fondé par les principaux architectes de la première plateforme conçue pour répondre aux normes de l'Open Banking au Royaume-Uni, ainsi que par des acteurs clés du développement de la norme OpenID Foundation Financial Grade API (FAPI), Raidiam dispose d'une expérience approfondie en matière de gestion des obstacles juridiques, de défis organisationnels et d'options techniques en rapport avec la DSP2 .

Directive révisée sur les services de paiement (DSP2) Directive de l'Union européenne garantissant la sécurité des transactions de paiement électronique qui étaient auparavant effectuées uniquement par des institutions financières

Services électroniques d'identification, d'authentification et de confiance (eIDAS) Norme créée par l'Institut européen des normes de télécommunications pour permettre des interactions électroniques sécurisées et transparentes entre les entreprises, les citoyens et les autorités publiques

Prestataire tiers Fournisseur de services d'informations de compte ou fournisseur de services d'initiation de paiement autorisé à demander l'autorisation d'accéder aux informations d'un compte bancaire pour fournir un service

3Délestage et simplification de la conformité à la DSP2

Nouveaux défis et nouvelles opportunitésDans la mesure où la DSP2 n'impose pas de composants technologiques spécifiques, les institutions financières sont en mesure d'évaluer et de déterminer la meilleure approche pour leur mise en conformité, ce qui représente à la fois un défi et une opportunité . De plus, le passage de silos d'application d'entreprise à une approche orientée client influence le déploiement des solutions .

La DSP2 soulève des défis technologiques et commerciaux :

• la gestion des clients de manière à répondre aux attentes des utilisateurs en matière d'expérience sur l'ensemble des produits ;

• l'élaboration d'une stratégie pour tirer le meilleur parti des opportunités commerciales ;• la résolution des problèmes techniques de façon à répondre aux besoins de l'entreprise

de manière rentable .

Les institutions financières qui se conforment aux dispositions de cette directive en gérant la complexité et les coûts de la solution globale obtiennent ainsi des avantages concurrentiels :

• en créant de meilleures expériences client ;• en gagnant la confiance des clients par une adéquation à leurs besoins ;• en proposant de nouveaux produits et services financiers attrayants .

Fourniture d'accès à des tiersLa DSP2 requiert l'introduction formelle de prestataires tiers sans contrat direct, une nouvelle classe d'entité dans le secteur des services financiers . Bien que cette pratique existe de manière tacite depuis de nombreuses années, les banques ont conservé en grande partie le contrôle de la relation avec les clients .

Les groupes de défense des consommateurs et les organismes de réglementation travaillant sur la DSP2 cherchent à créer un environnement dans lequel des tiers correctement contrôlés pourront être loyalement en concurrence les uns avec les autres et avec la communauté de services financiers établie .

Identité, consentement et authentificationEn combinant les attentes des clients et les responsabilités des entreprises sous la DSP2, trois principes fondamentaux apparaissent :

• La sécurité : s'assurer que les données et les accords de confiance sont protégés

• L'identité : permettre aux clients de contrôler leurs données

• La confidentialité : protéger les données clients collectées

Sécurité

Protection de la vie privéeIdentité

DSP2

Figure 1 : Les trois principes fondamentaux de la DSP2

4Délestage et simplification de la conformité à la DSP2

Identité du clientL'identité revêt une importance majeure dans la création de valeur commerciale sous la DSP2 . L'identité doit garantir aux utilisateurs un droit d'accès, de contrôle et de choix sur leurs informations, comptes et autorisations tout au long du parcours utilisateur en conformité avec la DSP2 . Les solutions d'identité et les mises en œuvre appropriées doivent permettre aux clients, également appelés utilisateurs de services de paiement, de prendre des décisions éclairées tout en bénéficiant d'une expérience utilisateur sécurisée et fluide .

L'activation des identités gagne à reposer sur les protocoles Internet modernes OAuth2 et OpenID Connect . Ces normes ont été mises au point par Janrain (qui fait désormais partie d'Akamai) en collaboration avec OpenID Foundation . Avec des configurations récemment normalisées offrant de hautes garanties, ces protocoles sont suffisamment robustes pour les cas d'utilisation de services financiers conformes à la DSP2, par exemple . Grâce à des protocoles Internet modernes, les informations d'identification des clients ne sont jamais partagées et l'accès des tiers répond à un contrôle strict soumis au consentement explicite du client .

Consentement et autorisationBien que le consentement soit considéré comme étant géré de manière indépendante et généralement en dehors de la solution d'identité, il existe une possibilité de consolidation et d'exploitation d'une solution de métadonnées plus large, qui recueille consentement et autorisation lors du processus d'authentification . Cette option offre un certain nombre d'avantages, notamment la mise à disposition du consentement des clients dans le flux transactionnel, ainsi que pour les demandes d'autorisation .

Selon la DSP2, une autorisation explicite de consentement de l'utilisateur de services de paiement est requise pour :

• partager les données d'un compte de paiement avec un prestataire de services d'informations sur les comptes (AISP) ;

• autoriser un prestataire de services d'initiation de paiement (PISP) à effectuer des paiements à partir de comptes de paiement ;

• permettre à un émetteur d'instruments de paiement par carte (CBPII) de soumettre des demandes de Confirmation de fonds à un Prestataire de service de paiement gestionnaire de compte (ASPSP) .

Par exemple, si la demande d'autorisation est initiée par le prestataire tiers, l'utilisateur des services de paiement doit être dirigé vers le Prestataire de service de paiement gestionnaire du compte pour l'autoriser . Ensuite, il doit être redirigé vers le prestataire tiers pour terminer la transaction . L'autorisation est enregistrée dans le jeton, qui doit être validé pour chaque appel d'API .

En général, la gestion des autorisations doit inclure pour l'utilisateur des services de paiement la possibilité de :

• révoquer le consentement ;• activer ou désactiver temporairement l'accès à

toutes les données ou à des données spécifiques .

Prestataire de service de paiement gestionnaire du compte (ASPSP) Généralement, la banque qui détient les comptes

Fournisseur de services d'informations de compte (AISP) Fournisseur de services d'agrégation de comptes

Utilisateur des services de paiementL'utilisateur qui donne son accord à un prestataire tiers pour accéder à ses comptes

UTILISATEUR DE SERVICES DE PAIEMENT

PRESTATAIRE TIERS

PRESTATAIRE DE SERVICE DE PAIEMENT

GESTIONNAIRE DE COMPTE

Application de la gestion du consentement et des préférences

Confirmer

Authentification Autorisation d'accès

Figure 2 : Flux d'autorisation

5Délestage et simplification de la conformité à la DSP2

Authentification forte du clientLes nouvelles règles de la DSP2 incluent notamment une exigence appelée Authentification forte du client (CSA) . Celle-ci établit des normes qui obligent toutes les parties, qu'il s'agisse d'une banque ou d'une interface de services financiers tierce, à fournir une authentification cohérente aux clients . Elle favorise également un accès plus sécurisé des clients et contribue à réduire les fraudes dues à des processus d'authentification faibles .

Sauf exception, les règles de l'authentification forte du client s'appliquent lorsqu'un payeur :

• initie une transaction de paiement électronique ;• accède à un compte de paiement en ligne ;• effectue toute action à distance pouvant impliquer un risque de fraude au paiement .

Les solutions d'authentification forte du client doivent fonctionner pour tous les groupes de clients, ce qui peut signifier la mise à disposition de plusieurs méthodes d'authentification différentes, y compris pour les utilisateurs qui ne possèdent pas de smartphone . En outre, la mise en œuvre de cette authentification forte ne doit pas perturber inutilement le parcours du client ni aller de pair avec de mauvaises expériences . La mise en œuvre de parcours utilisateur dépendants du contexte pour la gestion de l'authentification, des autorisations et du consentement offre une meilleure expérience utilisateur .

Gouvernance d'APILa DSP2 et les Normes réglementaires techniques (RTS) exigent que les institutions financières mettent à disposition des interfaces de communication sécurisées . D'après ces normes, ces interfaces « doivent offrir à tout moment le même niveau de disponibilité et de performances » sans créer d'obstacles à la prestation des services financiers par les prestataires tiers . Il existe un consensus général dans le secteur affirmant que les API sont les meilleures technologies pour répondre à ces exigences .

La solution de passerelle d'API d'Akamai prend en charge trois types d'API :

• API privées au sein de l'institution financière ;• API partenaires entre l'institution financière et un

prestataire tiers externe ;• API ouvertes disponibles pour tous les prestataires tiers

de confiance .

Les institutions qui font office de Prestataire de services de paiement gestionnaires de compte (ASPSP) proposeront des points de terminaison d'API uniques ou multiples destinés à être utilisés par les prestataires tiers en fonction de la zone géographique, de la disponibilité et de l'application . Chaque API attendra qu'un jeton d'accès OAuth soit présenté avec chaque appel d'API . Les jetons d'accès sont émis par le Prestataire de services de paiement gestionnaires de compte pour fournir une interaction limitée avec le prestataire tiers, y compris concernant les demandes de consentement .

De nombreuses API sont développées en silos en fonction des besoins des différents services et ne sont pas toujours construites au même niveau que des API similaires dans d'autres services de la même entreprise . Une passerelle d'API fournit les fonctions de gestion permettant d'unifier les exigences pertinentes pour toutes les API, telles que l'authentification, la limitation de débit, l'inscription et la mise en cache .

Normes réglementaires techniques (RTS)Normes détaillées sur l'authentification forte des clients ainsi que sur la communication commune et sécurisée .

Authentification forte du client Exigence de la DSP2 visant à renforcer la sécurité des paiements électroniques en utilisant l'authentification multifactorielle

6Délestage et simplification de la conformité à la DSP2

Figure 3 : Une passerelle d'API gère la validation des jetons

Une solution de passerelle d'API permet de délester la tâche de validation, d'inspection et d'application des jetons d'accès OAuth 2 .0, en sécurisant les transactions pour les API via l'Akamai Intelligent Edge Platform . Lorsque les volumes de demandes d'API augmentent, et compte tenu du fait que chaque demande nécessite une authentification conforme à la DSP2, la régulation de la validation des jetons peut devenir imprévisible, ce qui rend difficile le contrôle des coûts d'infrastructure sur site ou dans le cloud . Le contrôle de l'accès à la périphérie garantit une stratégie durable où les API ont la priorité .

TLS mutuelL'identification des tiers conformément aux exigences de la DSP2 et de l'Open Banking nécessite l'utilisation de services électroniques d'identification, d'authentification et de confiance (eIDAS), une approche définie par l'UE permettant aux entreprises de présenter leur identité de manière irréfutable . Les certificats utilisés sont fournis par un prestataire tiers au Prestataire de services de paiement gestionnaires de compte (ASPSP) à l'aide du protocole TLS (Transport Layer Security) . Le Prestataire de services de paiement gestionnaires de compte doit effectuer un certain nombre de vérifications :

• état du certificat eIDAS auprès du fournisseur de certificats eIDAS• état du fournisseur de certificats eIDAS auprès de l'organisme national compétent• niveau d'autorisation DSP2 de la société auprès de l'organisme national compétent

UTILISATEUR DE SERVICES DE PAIEMENT

PRESTATAIRE TIERS

mTLS

PRESTATAIRE DE SERVICE DE

PAIEMENT GESTIONNAIRE DE COMPTE

API

Politique et routage

Quota d'utilisateurs à l'échelle mondiale

Authentification par clé

Authentification par jeton

AUTHENTIFICATION/VALIDATION DU JETON

PASSERELLE D'API AKAMAI

Akamai Identity Cloud

Inscription et connexion IDaaS API

Contrôle d'accès au périmètre

Cloud Directory

Gestion du consentement et des préférences

7Délestage et simplification de la conformité à la DSP2

Akamai Edge Services peut gérer la terminaison et la validation mTLS (mutual TLS), ce qui évite aux institutions financières d'avoir à mettre en place, exploiter et gérer ces fonctions complexes .

Figure 4 : Akamai déleste la terminaison et la validation mTLS

Modèle de maturité DSP2Face à la complexité et à la nature dynamique des réglementations, ainsi qu'aux différentes approches en termes de technologies et de plateformes pour la mise en conformité et la création de valeur, une stratégie réussie doit être flexible pour s'adapter aux changements au fil du temps . Le modèle de maturité DSP2 comporte cinq étapes : chacune offre des avantages uniques à l'entreprise et tient compte de la manière dont le client passera d'une étape à l'autre .

1. InexistantAu début du processus de mise en conformité avec la DSP2, les entreprises sont généralement en phase de recherche ou dans un secteur adjacent affecté par la DSP2, comme le commerce de détail . À ce stade, de nombreuses entreprises préfèrent adopter une approche attentiste, à la recherche des meilleures pratiques dans leur secteur, des normes et d'assistance de la part des organismes de réglementation pour obtenir un délai supplémentaire pour se mettre en conformité .

2. Ad hocÀ ce stade, les entreprises ont atteint un certain niveau de conformité, généralement à l'aide d'un certain nombre de systèmes et de processus qui s'appuient sur des solutions existantes et, le plus souvent, propriétaires . Des silos d'identités connus et contrôlés sont en place, avec une intégration faible, voire inexistante entre ces silos et les systèmes (par exemple, plusieurs approches de l'authentification forte des utilisateurs) . À ce stade, les entreprises sont généralement conformes ou partiellement conformes .

UTILISATEUR DE SERVICES DE PAIEMENT

Prestataire tiers Autorité nationale

Prestataire de services de confiance qualifié

Akamai Edge ServicesmTLS

API Gateway

Sécurité

Consentement

Authentification forte du client PRESTATAIRE DE SERVICE DE PAIEMENT GESTIONNAIRE DE COMPTE

Authentification forte du client et autorisation

API

8Délestage et simplification de la conformité à la DSP2

Figure 5 : Cinq étapes de la maturité DSP2

3. Répétable et définiL'objectif de cette étape est de poser les bases d'une intégration plus approfondie avec des systèmes qui peuvent mieux générer de la valeur . Il s'agit notamment de disposer d'une plateforme robuste de gestion des identités client, d'API qui peuvent consolider les données clients à partir de sources internes et externes, et d'une authentification forte des clients qui s'appuie sur des règles .

Le remplacement de systèmes hétérogènes développés en interne dans plusieurs environnements informatiques nécessite une stratégie claire par rapport à la façon dont l'entreprise va générer de la valeur à partir d'une plateforme intégrée . À ce stade, la conformité implique une approche multifournisseur, qui consiste à remplacer ou à multiplier les systèmes développés en interne . En outre, les solutions présentent une mise en œuvre hautement personnalisée pour l'intégration . À ce stade, les entreprises sont généralement conformes, mais avec des coûts d'exploitation élevés .

4. Géré et mesurableÀ ce stade, l'objectif est de créer de meilleures expériences client . Avec la mise en place d'une plateforme d'identité client universelle, la transition vers l'étape suivante commence lorsque les dirigeants de l'entreprise trouvent des moyens d'exploiter les solutions autrement que pour la seule conformité . À ce stade, l'investissement devient plus centré sur le client et plus axé sur les performances commerciales, adaptant les parcours des clients en fonction du contexte et des risques .

5. Configuration optimiséeÀ ce stade, l'objectif est de générer de la valeur stratégique pour l'entreprise et ses clients . En général, les entreprises à ce stade aspirent à optimiser leur fonctionnement en s'éloignant des solutions d'appoint, pour préférer des fournisseurs capables de proposer une solution idéale qui réduise la complexité et les coûts d'exploitation en matière d'identité client, de mTLS et de sécurité des API .

INEXISTANTRecherche de solutions

La m

atur

ité

Capacités

AD HOCSystèmes propriétaires en place

Silos d'identités connus et contrôlés

RÉPÉTABLE ET DÉFINISolution multifournisseur

Conformité

GÉRÉ ET MESURABLEAxé sur le client et les performances de l'entreprise

Dépendant du contexte et des risques

ÉTAT VISÉ

CONFIGURATION OPTIMISÉEDes performances consolidées et opérationnelles

9Délestage et simplification de la conformité à la DSP2

ConclusionLors de l'évaluation d'une approche de la mise en conformité avec la DSP2, les entreprises doivent chercher à atteindre cinq objectifs principaux :

1 . respect des exigences réglementaires ;2 . proposition de la meilleure expérience client possible ;3 . obtention d'un avantage concurrentiel ;4 . garantie des contrôles de sécurité nécessaires ;5 . fourniture d'une solution technique opérationnelle et rentable .

L'utilisation des technologies et des services d'Akamai peut rationaliser la mise en œuvre des normes de la DSP2 et de l'Open Banking en vue d'une conformité durable, d'une expérience client améliorée, d'une complexité opérationnelle réduite et de coûts restreints . Akamai sécurise et fournit des expériences digitales aux plus grandes entreprises du monde entier, parmi lesquelles figurent les 10 plus grandes banques européennes . L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises .

Raidiam accélère la mise à disposition de solutions conformes à la DSP2 et fait progresser les solutions client vers une plus grande maturité . La société prend également en charge la fourniture flexible de solutions Web et d'API plus générales pour gérer les défis associés à l'accès à ces services . Raidiam propose un service de proxy géré pour prendre en charge la terminaison TLS et la validation des certificats mTLS, et fournit des services d'application et d'infrastructure gérés pour les solutions B2B et B2C .

Les institutions financières qui voient dans la DSP2 et l'Open Banking une opportunité de redéfinir le parcours des utilisateurs et de consolider les environnements informatiques tireront parti des avantages de cette nouvelle directive . Pour plus d'informations, rendez-vous sur akamai .com/psd2 .

10Délestage et simplification de la conformité à la DSP2

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde . L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises . Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-clouds . Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces . Les solutions de sécurité en bordure de l'Internet, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an . Pour savoir pourquoi les plus grandes marques mondiales font confiance à Akamai, rendez-vous sur les pages www.akamai.com et blogs.akamai.com ou suivez @Akamai sur Twitter . Vous trouverez nos coordonnées dans le monde entier à l'adresse www.akamai.com/locations . Publication : 12/19 .

Raidiam est un spécialiste de la gestion des identités qui fournit des services de transformation digitale axés sur l'identité des clients et de l'IoT . Fondé par les principaux architectes de la première plateforme conçue pour répondre aux normes de l'Open Banking au Royaume-Uni, ainsi que par des acteurs clés du développement de la norme OpenID Foundation Financial Grade API (FAPI), Raidiam dispose d'une expérience approfondie en matière de gestion des obstacles juridiques, de défis organisationnels et d'options techniques en rapport avec la DSP2 . Ce faisant, Raidiam fournit des services optimisés pour répondre aux défis réglementaires des clients et les faire évoluer en vertu de la DSP2, tels que la validation des certificats numériques eIDAS .

Informations complémentaires• Livre blanc Akamai : Solutions de sécurité pour la conformité PSD2 et l'atténuation des risques

• The Payment Services Regulations 2017

• Open Banking Customer Experience Guidelines

Auteurs :Mark Haine, partenaire fondateur, Raidiam Services Ltd (raidiam .com) Mayur Upadhyaya, directeur principal, Identity Cloud, Akamai (akamai .com)