Pourquoi travailler avec un partenaire tel que Budget Insight ?
Pourquoi faire appel à un partenaire ?
Nous avons pris la décision de ne pas la développer en interne en partant d’une page blanche car cela aurait nécessité des développements plus longs alors que la solution était déjà opérationnelle et répondait à notre cahier des charges : sécurité, confidentialité des données et certifications ACPR et DSP2.
Le partenariat avec Budget Insight est donc officiel et audité : Cozy Cloud est enregistrée sous le numéro 84516 par l’Autorité de Contrôle Prudentiel et de Résolution comme Agent de Budget Insight, établissement de paiement agréé.
Quel impact pour vous, utilisateur ?
Où sont stockées vos données et comment sont-elles protégées ?
L’intégralité des données est chiffrée avec une clé RSA et stockée sur des serveurs hébergés en France dont les disques durs sont également chiffrés.
Le stockage de vos données respecte les exigences de la CNIL n°1621894 en terme de confidentialité et de maitrise des données.
Comment sont effectuées les connexions avec vos banques ?
Toutes les données échangées entre la banque et Budget Insight passent par le protocole sécurisé HTTPS, il s’agit du même protocole utilisé pour les transferts financiers en ligne tels que les banques en ligne, le courtage en ligne et le e-commerce. Budget Insight est en constante veille des bonnes pratiques autour des protocoles SSL/TLS afin d’offrir le niveau de sécurité maximum.
Budget Insight est-il un établissement agréé ?
Depuis janvier 2016, l’activité de Budget Insight est protégée et régie par la Directive des Services de Paiement 2 (DSP2), une directive menée par l’Autorité Bancaire Européenne (ABE) qui vise à réglementer notre métier en appliquant les normes de sécurité en vigueur. Budget Insight est un acteur très actif sur le sujet et participe à de nombreux débats pour faciliter l’usage tout en assurant un niveau de sécurité maximal. C'est en mars 2018 que Budget Insight obtient son agrément DSP2. En savoir plus sur la DSP2.
Quelles sont les autorisations associées aux clés d'accès aux API des banques que vous quelles autorisations ont Budget Insight auprès des banques ?
Notre partenaire Budget Insight comme Cozy Cloud en tant qu’agent ont été agréé pour l'aggrégation de comptes et l'initiation de paiement (virement) par la Banque de France ce qui signifie que les contraintes de transmission de données entre votre Cozy, Budget Insight et votre banque sont aussi fortes qu'entre vous et votre banque audité par l'ACPR.
Que faire s'il a une fuite chez Budget Insight ou si mon Cozy se fait pirater ?
La DSP2 oblige aujourd'hui les banques des confirmations via la double authentification ce qui implique qu'une fuite chez Budget Insight ne serait pas dramatique tant que cette double authentification est activée. Coté Cozy, vos identifiants bancaires ne transitent pas, ils sont directement envoyés chez Budget Insight chiffrés de bout en bout. Donc même s'ils sont interceptés, ils sont inutilisables
Pour l’instant on paie BI juste pour avoir accès aux comptes en consultation. Mais eux, à partir du moment où ils ont le mot de passe, je pense qu’ils peuvent faire ce qu’ils veulent. On n’est justement pas dans un contexte type OAuth où la banque donne une clé avec les permissions liées. On stocke les identifiants du compte qui permettent de tout faire (moyennant la 2FA, et c’est peut-être là la réponse : on a les identifiants, mais la plupart des banques demandent des confirmation via 2FA donc une fuite chez BI ne serait pas complètement dramatique si la 2FA est activée. Vos identifiants bancaires sont chiffrés de bout en bout.