Qu’est ce que la DSP2 ?
La deuxième Directive des Services de Paiements (DSP2) et les normes techniques réglementaires (Regulatory Technical Standards, RTS) qui y sont associées ont été publiées par l’Autorité Bancaire Européenne et validées par le parlement Européen au début 2018.
Cette nouvelle directive vise à harmoniser la protection des paiements électroniques et des données financières des consommateurs tout en promouvant l’innovation et en offrant plus de commodité aux utilisateurs. Elle s’applique aux banques, prestataires de services de paiements et à toute autre entreprise qui manipule des données bancaires.
API bancaires ouvertes
La DSP2 impose aux banques européennes de développer leurs propres APIs d’open banking afin de normaliser les flux d’échanges entre leurs systèmes d’information et les prestataires tiers. Les APIs des banques devaient être prêtes en mars 2019 afin de se soumettre à une période de 6 mois de tests lors desquels leurs performances seront passées au crible.
Obligations de sécurité précises
Parmi les mesures de sécurité imposées par les articles 4, 7, 8 et 9 du RTS figurent deux principes complémentaires : l’authentification forte et l’exécution dans un environnement sécurisé.
Les prestataires de services financiers, incluant les banques, doivent mettre en place une authentification basée sur un minimum de deux facteurs et sur un code à usage unique. Afin d’assurer la forte authentification, la confidentialité du code et la prévention des accès frauduleux sont exigés.
La DSP2 met en exergue le fait qu’une authentification n’est fiable que lorsque l’on est assuré que la communication ne peut pas être interceptée et que l’émetteur de la demande d’accès aux données est bien l’utilisateur en question et non un malware.
Pour assurer la forte authentification, la DSP2 requiert la sécurisation de l’environnement d’exécution des services bancaires en contrôlant la sécurité des terminaux des utilisateurs.
Comment sécuriser l’environnement d’exécution des applications mobiles ?
Afin d’assurer l’intégrité des terminaux des utilisateurs, les applications mobiles manipulant des données bancaires et permettant des transactions financières doivent intégrer un module de sécurité qui analysera leur environnement d’exécution.
La technologie Runtime Application Self-Protection (RASP), sous forme de SDK à intégrer aux applications mobiles, permet de diagnostiquer en temps réel l’intégrité des terminaux des utilisateurs et de conditionner l’accès aux API en conséquence.
Dans le contexte de la DSP2 qui vise, entre autres, à protéger les applications mobiles distribuées à grande échelle, la protection in-app s’impose comme la clé de la fiabilité d’une forte authentification.
Découvrez les solutions de sécurité mobile de Pradeo :