Hoe gaan we veilig om met uw toestemming om betalingen via uw bankrekening uit te voeren?

Hoe gaan we veilig om met uw toestemming om betalingen via uw bankrekening uit te voeren?

Hoi, mijn naam is Sven Beauprez en ik ben verantwoordelijk voor alle technische zaken van het TOCO Platform.

Zoals u in vorige blogs kon lezen en in toekomstige blogs zal kunnen lezen, is TOCO bedoeld als uw one-stop-shop voor al uw bedrijfsadministratie, inclusief betalingen zonder dat u daarbij naar uw bankapplicatie hoeft te gaan. Dit niet alleen voor België, maar voor de hele Europese Unie (ook voor de UK). In deze post hef ik de hoek van de sluier op van een deel van de veiligheid dat cruciaal is voor de bancaire integratie, vooral voor het initiëren van betalingen, en dat werd goedgekeurd door de Nationale Bank van België (NBB). 

TOCO verzamelt veel gegevens uit verschillende systemen, zoals het ophalen van uw boekhoudkundige informatie uit boekhoudsoftware en uw financiële transacties bij banken. Tegelijkertijd laden we gegevens op, zoals facturen die klaar zijn om door uw accountant te worden verwerkt, en lanceren we acties, zoals betalingen die door uw bank worden verwerkt.

Voor al deze integraties is toestemming van de eindgebruiker nodig en wij moeten ervoor zorgen dat alleen jij uw gegevens kunt opvragen en dat alleen jij acties kunt uitvoeren op uw gegevens (bijv. betalen met uw bankrekening).

We hebben alleen diepe integraties met externe systemen die secure kunnen opgezet worden. Voor banken is dit prima en de meeste banken zijn klaar om deze integraties op te zetten (vanwege de Europese PSD2-richtlijn). Voor boekhoudsystemen is dit een ander verhaal. Niet alle systemen zijn klaar voor veilige diepe integraties. Als u een accountant bent, neem dan contact op met ons support team om te weten welke boekhoudsoftware wij vandaag ondersteunen en welke pakketten op de roadmap staan (we werken inmiddels ook samen met een aantal leveranciers om hun software veiliger te maken).

Voor alle ondersteunde diepe integraties gebruiken we dezelfde hoge security standard, wat betekent dat de integraties van boekhoudsystemen op hetzelfde hoge veiligheidsniveau staan als de bancaire integraties. Wanneer een integratie wordt opgezet met een bank bijvoorbeeld, moeten we uw toestemming (consent) krijgen om rekeninginformatie te kunnen lezen en een betaling te initiëren vanop uw bankrekening. Wanneer u ons deze toestemming (consent) geeft, krijgen we een unieke sleutel (token) voor u van uw bank om te gebruiken in toekomstige communmicatie met uw bank.

U kunt deze sleutel/token vergelijken met een unieke sleutel van een kantoorgebouw. De eigenaar van de sleutel is bekend en u kunt eenvoudig volgen wanneer de eigenaar het gebouw is binnengekomen. Dit geldt ook voor de consent token dat je ons via uw bank hebt gegeven. Wanneer wij deze token gebruiken om een betaling op uw rekening te initiëren, weet iedere partij precies dat jij - en alleen jij - deze betaling hebt geïnitieerd op TOCO - en alleen op TOCO - en op die specifieke rekening - en alleen die rekening. TOCO ontvangt tokens van veel verschillende gebruikers, dus we moeten heel voorzichtig zijn met wat we met die tokens doen.

Nu wat meer technische details over hoe we deze tokens veilig opslaan in onze backend. We gebruiken een kluis waarin de tokens geëencrypteerd worden opgeslagen. De encryptie sleutels die gebruikt worden om de token te encrypteren, zijn ook geënecrypteerd met een hoofd encryptie sleutel. De kluis kan alleen worden ontgrendeld via de hoofdsleutel. Dat is reeds veel encryptie, maar het houdt hier niet op!

De hoofd encryptie sleutel, die nodig is om toegang te krijgen tot de kluis, is op zijn beurt geëncrypteerd via een key management system (KMS) en moet met de KMS worden ontcijferd. De KMS bewaart de cryptografische sleutels die gebruikt worden voor het versleutelen en ontcijferen van gegevens.

Dit is slechts het topje van de ijsberg in verband met de veiligheidsmaatregelen die we hebben genomen en onze hele beveiligingsopstelling werd door de Nationale Bank van België (NBB) gereviewed en goedgekeurd. Sinds dag 1, voorjaar van 2019, werden deze beveiligingsmaatregelen opgezet. Beveiliging is geen bijzaak bij TOCO.

Jouw boekhouder op TOCO of niet, wij zorgen dat het werkt!

Jouw boekhouder op TOCO of niet, wij zorgen dat het werkt!

We hebben net een nieuwe versie van TOCO uitgebracht waarin je eenvoudig je boekhouder kunt aanwijzen en samenwerken.

Of je boekhouder nu op TOCO gebruikt of niet, wij zorgen ervoor dat het werkt! 🤝

Hoi, mijn naam is Jonas, Lead Analyst van TOCO. Zoals je in mijn vorige blog kon lezen, staat TOCO voor Together Connected. De eerste en belangrijkste connectie als KMO om je financiële administratie soepel te laten verlopen, is die met je boekhouder. We hebben net een nieuwe versie van TOCO uitgebracht waarin je eenvoudig je boekhouder kunt aanwijzen en samenwerken. Of je boekhouder nu op TOCO gebruikt of niet, wij zorgen ervoor dat het werkt! 🤝

Duid je boekhouder aan

Als eerste stap moet TOCO weten wie je boekhouder is voordat je kunt gaan samenwerken. Ga via het TOCO menu naar Instellingen - Boekhouding waar je het proces kunt starten. Zodra je begint met het typen van de naam of het BTW-nummer van je boekhouder, zie je suggesties voor mogelijke overeenkomsten.
Wees gerust, we geven een hint boven je Inbox zodat je niet vergeet je boekhouder aan te duiden.

Vanaf hier zijn er twee mogelijkheden: je boekhouder gebruikt TOCO of niet. Wanneer je boekhouder TOCO gebruikt, is er nog een laatste goedkeuring om je als Client te accepteren. Zodra zij akkoord gaan, is alles klaar en kan je beginnen met het versturen van documenten vanuit je TOCO Inbox naar je boekhouder.

Wanneer Wanneer je boekhouder TOCO nog niet gebruikt, wordt in de volgende stap gevraagd de gegevens van je contactpersoon in te vullen. Je hoeft alleen de naam, e-mailadres en het telefoonnummer in te vullen. Dat is alles, je bent nu klaar om je documenten vanuit je TOCO Inbox naar je boekhouder te sturen.

Boekhouder niet op TOCO

Als je als boekhouder TOCO nog niet gebruikt, ontvang je een e-mail met de documenten die de KMO je verstuurde. Deze e-mail laat je al zien welke documenttypes en hoeveel van elks naar jou zijn verzonden. De documenten kunnen gedownload worden via een zip-bestand, waarin alle documenten gegroepeerd in een map per documenttype staan.

Wil je als boekhouder ook jouw proces optimaliseren?
Begin dan gratis met TOCO Start voor boekhouders!

Wat betekent multi-tenancy in het TOCO platform?

Wat betekent multi-tenancy in het TOCO platform?

Hoi, mijn naam is Sven Beauprez en ik ben verantwoordelijk voor alle technische zaken van het TOCO Platform.


Zoals je kon lezen in vorige blogs, is TOCO een platform voor de KMO waar hij al zijn bedrijfs-gerelateerde administratie kan centraliseren, zoals facturen, bedrijfsdossiers, verzekeringsdocumenten, financiële transacties (automatisch geïmporteerd van de bank, details komen in een toekomstige blog) enz. Dit alleen al is zeer krachtig voor de KMO en in de komende weken zal er een nieuwe release komen waarbij de KMO zelfs met zijn boekhouder kan communiceren wanneer die (nog) niet op het platform zit.

Maar we zien ook dat de meeste accountants openstaan voor TOCO wanneer één van hun klanten TOCO gebruikt voor zijn administratie, wat de volledige kracht van het platform voor die KMO ontsluit. Wanneer de accountant één van de door TOCO ondersteunde boekhoudpakketten en/of rapporterings-oplossingen gebruikt, krijgt de KMO automatisch updates van de accountant wanneer er iets in zijn boekhouding wordt gewijzigd.

Om dit mogelijk te maken wordt een accountant als tenant op het platform ingericht. Zie het platform als een zakelijk ecosysteem waarbij verschillende bedrijven een eigen ruimte innemen binnen een bedrijfsgebouw. Dit gebouw is een multi-tenant gebouw met veel huurders. In een strikt multi-tenant platform zoals Shopify is elke winkel een tenant en is elke tenant in feite een geïsoleerde website. Gebruikers hebben een aparte login voor elke tenant, ook al is een gebruiker een klant van meerdere winkels. Dit is natuurlijk het onderliggend idee van Shopify en dit model werkt perfect voor hen.

In TOCO kan een accountant zijn klanten beheren op het platform en wanneer een gebruiker inlogt voor een KMO, wordt hij verbonden met zijn accountant. Maar in werkelijkheid kan een gebruiker meer dan één KMO beheren/hebben en kan elke KMO gekoppeld worden aan een andere boekhouder, of zelfs met TOCO werken zonder gekoppeld te zijn met een boekhouder. Het hebben van meerdere logins zou dan een slechte gebruikerservaring zijn.

Om dit mogelijk te maken is het autorisatiemodel zo ingericht dat een gebruiker gemakkelijk kan switchen van KMO en daarbij automatisch bij de nieuwe huurder terechtkomt. Met andere woorden, een gebruiker kan 1 login hebben om verschillende KMO's te beheren met potentieel verschillende accountants.

De multi-tenancy opzet hieronder opent de deur naar nieuwe use-cases waarbij cross-tenants, zoals banken, notarissen, accountants, etc. KMOs als klant hebben over de verschillende tenants op het platform.

Door voort te bouwen op bovenstaande architectuur, hebben we een zeer flexibel platform voor alle use cases waarbij de KMO communiceert en gegevens deelt met verschillende soorten partijen met een andere betrokkenheid op het platform.

Wat is de huidige status van het TOCO-platform?

Wat is de huidige status van het TOCO-platform?

Hoi, mijn naam is Sven Beauprez en ik ben verantwoordelijk voor alle technische zaken van het TOCO Platform.

Oktober 2019 was een belangrijke mijlpaal voor TOCO. Toen was de eerste productierelease van het platform en het stelde onze eerste gebruikers in staat om het platform te testen en te laten groeien. Sindsdien zijn heel wat gebruikers aan boord gekomen en gebruiken ze TOCO samen met hun boekhouder, volledig geïntegreerd met het boekhoudsysteem van de boekhouder.

Om meer inzicht te geven in het platform en alle functionaliteiten die we nu hebben of die in de nabije toekomst worden verwacht, starten we een blogserie rond het product en de onderliggende architectuur, voor een meer technisch publiek. In de komende weken zullen Evelien en Jonas - onze Product Owner en Business Analyst - praten over documenten, boekhoudpakketten, boekingen, betalingen, banktransacties, rapportages en nog veel meer, om uit te leggen hoe hiermee om te gaan in TOCO.

Daarnaast zal ik zelf dieper ingaan op de architectuur van ons multi-tenant platform, de beveiliging, de beschikbaarheid, de bedrijfscontinuïteit, de verschillende integraties, enz. Hiermee zullen we een beter zicht geven op hoe we verschillende niet-functionele vereisten aanpakken en wat we op technisch niveau hebben gedaan om een PSD2-licentie van de NBB (Nationale Bank België) te verkrijgen, zodat we in de toekomst ook betalingen vanop het platform rechtstreeks zullen kunnen aanbieden.

Om u alvast een voorproefje te geven, laat ik u achter met de webinar die we net na het uitbrengen in productie hebben opgenomen. Lieve geeft hierin een overzicht van het platform in een demo-omgeving, met uitleg over enkele functies die al in oktober 2019 beschikbaar waren in productie (in het Nederlands). Weet dat we sindsdien hard hebben gewerkt om het platform uit te breiden met veel meer interessante features, die u in de komende weken/maanden zult leren kennen via deze blogserie.