API bancaires : 5 clés de succès pour les mettre en oeuvre
L'open banking arrive à grand pas. Au Royaume-Uni, plusieurs banques ont déjà mis en place des services bancaires basés sur les API, et le reste de l'Europe suit avec la DSP2.
Nous n'en sommes qu'au tout début, mais les signes avant-coureurs indiquent qu'il s'agit réellement du début d'une révolution dans notre façon, en tant que consommateurs, d'interagir avec nos banques et de prendre possession de nos données financières. Cependant, l'open banking n'est pas sans défis.
Si une organisation souhaite participer à la révolution open banking, voici cinq points à prendre en compte :
Consentement
Les données financières ne doivent être partagées que si et seulement si le client y a clairement consenti. OAuth 2.0 est une norme de sécurité ouverte pour la mise en œuvre de l'accès délégué et constitue une solution largement acceptée à ce problème. Avec OAuth, les tiers qui souhaitent accéder aux données doivent d'abord envoyer le client à la banque qui les authentifiera fortement et lui demandera son consentement avant d'émettre un jeton d'accès au tiers qui leur permettra d'y accéder. Les clients doivent également pouvoir révoquer ce consentement à tout moment. Les organisations cherchent le meilleur moyen de tirer parti d’Oauth dans leur quête du consentement.
API et sécurité
La plupart des organisations n'avaient pas l'open banking en tête lorsqu'elles ont conçu leurs API et plateformes de sécurité. Elles doivent maintenant trouver des moyens sécurisés d'exposer leurs API, dont un grand nombre sont probablement exécutées sur des plateformes existantes. Elles doivent à la fois activer ces API en tant que serveurs de ressources OAuth et déployer des serveurs d'autorisation compatibles OAuth et les intégrer à leurs applications client afin d'appliquer le consentement dont nous avons parlé précédemment.
Authentification client forte
LaDSP2 stipule que les institutions financières doivent appliquer une authentification client forte (SCA) lorsque les clients effectuent certaines actions, y compris les opérations open banking. Généralement, lorsque nous considérons les mécanismes d'authentification, nous considérons trois facteurs : la connaissance (ce que l’utilisateur sait), la possession (ce que l’utilisateur possède) et l'inhérence (ce que l’utilisateur est). Pour effectuer une authentification client forte, au moins deux de ces trois facteurs doivent être examinés lors d'un événement d'authentification. Les organisations doivent examiner leurs procédures d'authentification et, dans de nombreux cas, les remanier pour les rendre conformes à la DSP2.
Confiance et gouvernance
Les institutions ont besoin d'un moyen de déterminer si une tierce partie est en mesure d'accéder aux données des clients. Au Royaume-Uni, l'annuaire Open Banking, géré par la FCA, fournit cette assurance, mais à l'heure actuelle, dans le reste du monde, il n'existe aucun service de ce type. Les organisations en dehors du Royaume-Uni doivent donc mettre en œuvre leurs propres processusde gouvernance par des tiers et les moyens de les faire appliquer.
Habiliter les développeurs
Beaucoup d'organisations qui doivent s’adapter à l'open banking n’avaient jamais vraiment eu à penser à l'expérience de travail des développeurs auparavant. Concevoir, publier et documenter un ensemble d'API et les rendre aussi faciles à utiliser que possible n'est pas un problème simple et cela exige vraiment une toute autre façon de penser. La DSP2 exige également que les organisations mettent à disposition une sandbox de développement permettant à des tiers de tester leurs intégrations à l'avance.
L'open
banking est un excellent exemple de la manière dont les réglementations peuvent
encourager et permettre la croissance de l'économie du partage de données. De
solides pratiques de confiance et de consentement, tant dans le secteur
bancaire que dans d'autres secteurs, seront de plus en plus vitales à mesure
que l'économie numérique continuera de se développer.