Comment traitons-nous en toute sécurité votre consentement pour effectuer des paiements sur votre compte bancaire?

Bonjour, je m'appelle Sven Beauprez et je suis responsable de tout ce qui est technique dans la plateforme TOCO.

Comme vous avez pu le lire dans les blogs précédents et comme vous pourrez le lire dans les prochains, TOCO est conçu pour être votre point d’accès unique pour toute l'administration de votre entreprise, y compris les paiements, sans avoir besoin de passer par votre application bancaire. Et cela non seulement pour la Belgique, mais aussi dans toute l'Union européenne (et aussi au Royaume-Uni). Dans ce blog, je lève le coin du voile sur une partie de la sécurité qui est cruciale pour les intégrations bancaires, en particulier pour l'initiation des paiements, et qui a été approuvée par la Banque Nationale de Belgique (BNB) 

TOCO regroupe de nombreuses données provenant de différents systèmes, comme par exemple la récupération de vos informations comptables d’un logiciel de comptabilité et de vos transactions financières auprès des banques. Dans le même temps, nous téléchargeons des données et déclenchons des actions sur ces systèmes, comme le téléchargement de factures prêtes à être traitées par votre comptable et de paiements à traiter par votre banque.

Toutes ces intégrations nécessitent le consentement de l'utilisateur final et nous devons nous assurer que vous et vous seul êtes en mesure de récupérer vos données et, que vous et vous seul pouvez exécuter des actions sur vos données (par exemple, payer avec votre compte bancaire).

Nous n'avons que des intégrations sérieuses avec des systèmes externes, qui peuvent être mises en place en toute sécurité. Pour les banques, c'est déjà le cas et la plupart des banques sont prêtes à mettre en place cette intégration (elles doivent le faire, en raison de la directive européenne PSD2). Pour les systèmes comptables, c'est un peu plus complexe. Tous ces systèmes ne sont pas prêts pour des intégrations pointues et sécurisées. Si vous êtes comptable, veuillez contacter notre équipe d'assistance pour savoir quels logiciels de comptabilité nous prenons en charge aujourd'hui et quels sont les progiciels prévus (nous coopérons avec certains des éditeurs pour rendre leurs logiciels plus sûrs).

Pour toutes les intégrations détaillées prises en charge, nous utilisons la même norme de sécurité élevée, ce qui signifie que les intégrations de systèmes comptables sont au même niveau de sécurité élevé que les intégrations bancaires. Lorsqu'une intégration est mise en place avec une banque par exemple, nous devons obtenir votre accord pour pouvoir lire les informations relatives à votre compte et pour initier un paiement avec votre compte bancaire. Lorsque vous nous donnez votre accord, nous obtenons de votre banque une clé (jeton) unique que vous pourrez utiliser lors de vos futures conversations avec votre banque.

Vous pouvez comparer cette clé/ce jeton avec une clé unique d'un immeuble de bureaux. Le propriétaire de la clé est connu, et vous pouvez facilement savoir quand il est entré dans l'immeuble. Cela est également vrai pour le jeton de consentement que vous nous avez donné via votre banque. Lorsque nous utilisons ce jeton pour initier un paiement sur votre compte, chaque partie sait exactement que vous - et seulement vous - avez initié ce paiement sur TOCO - et seulement sur TOCO - et pour ce compte spécifique - et seulement ce compte. TOCO reçoit des jetons de consentement de nombreux utilisateurs différents, nous devons donc être très prudents dans ce que nous faisons avec ces jetons.

Nous allons maintenant aborder plus en détail les aspects techniques de la manière dont nous stockons ces jetons en toute sécurité dans notre système de gestion. Nous utilisons un coffre-fort dans lequel les jetons sont stockés de manière cryptée. Les clés de cryptage utilisées pour crypter le jeton sont également cryptées avec une clé de cryptage principale. Le coffre-fort ne peut être ouvert que par la clé principale. C'est déjà beaucoup de cryptage, mais cela ne s'arrête pas là !

La clé de chiffrement principale, nécessaire pour accéder aux données du coffre-fort, est à son tour chiffrée via un key management system (KMS) et doit être déchiffrée avec le KMS. Le KMS conserve les clés cryptographiques utilisées pour le cryptage et le décryptage des données.

Ce n'est que la partie visible de l'iceberg des mesures de sécurité que nous avons prises et l'ensemble de notre dispositif de sécurité a été examiné et approuvé par la Banque Nationale de Belgique (BNB). Ce dispositif a été mis en place dès le premier jour, au printemps 2019. Vous le voyez, la sécurité n'est pas négligée dans TOCO !

Recommended Posts