Connecter nos API, c’est répondre au plus haut niveau d’exigences réglementaires et de sécurité

Group-148.png

Réglementation DSP2

Budget Insight fait partie des tout premiers établissements de paiement européens à avoir obtenu l’agrément DSP2 (initiation de paiement et information sur les comptes).

Depuis mars 2018, nous sommes un acteur régulé agréé par l’ACPR en tant que TPP (AISP et PISP). Cet agrément DSP2 reflète notre rigueur et notre sérieux.

C’est la garantie pour nos clients d’utiliser des technologies répondant au plus haut niveau d’exigences réglementaires et de sécurité du marché. Que vous soyez un acteur régulé ou non, notre agrément TPP nous permet de vous apporter la solution adaptée à vos besoins avec une intégration en webview responsive ou en marque blanche, dans le respect de la réglementation.

Connectez nos API en toute sécurité et concentrez-vous sur votre service et l’expérience utilisateur associée.

+ En savoir plus

Protection et sécurité
des données

Nos activités nous amènent à manipuler et traiter des informations confidentielles que l’on doit protéger de toute tentative d’accès non-autorisé, d’utilisation, divulgation, modification ou destruction.

Budget Insight, en tant que responsable de traitement ou sous-traitant de données personnelles se conforme aux dispositions du RGPD et aux recommandations de la CNIL et cherche de façon proactive, à toujours placer au centre de son activité : « la protection des données ».

+ En savoir plus

imgprotection.png
portrait.jpg

Influence et expertise
réglementaires

Notre département Risques et Conformité, expert des réglementations européennes dans les services de paiement joue un triple rôle :

Garantir le strict respect des exigences juridiques et réglementaires en Europe et de notre conformité : il pilote l’ensemble des processus de contrôle interne

Permettre à nos clients d’anticiper et de déchiffrer les nouvelles exigences réglementaires et accompagner leur mise en œuvre (RGPD, DSP2…)

Représenter nos clients et agir au cœur des processus législatifs, en lien étroit avec la Banque de France et la Commission Européenne. Budget Insight participe activement aux échanges avec l’ABE et l’ACPR dans le cadre de la DSP2.

+ En savoir plus


Vous avez besoin de conseil d’expert ?

Toujours à votre écoute pour vous accompagner au mieux dans
les démarches réglementaires du secteur financier.

Nous contacter Prendre RDV

FOIRE AUX QUESTIONS

Des réponses à vos interrogations

En France, le contrôle des banques et des assurances est exercé par l’Autorité de contrôle prudentiel et de résolution (ACPR).

L’ACPR est une autorité administrative dont le code monétaire et financier établit l’indépendance pour l’exercice de ses missions et l’autonomie financière.

L’ACPR est chargée de la supervision des secteurs bancaires et d’assurance.

Elle veille à la préservation de la stabilité du système financier et à la protection des clients.

Pour plus d’informations :
https://acpr.banque-france.fr/lacpr/presentation/quest-ce-que-lacpr

La Directive révisée sur les Services de Paiement (DSP2 ou PSD2 en anglais) vise à moderniser davantage les services de paiement en Europe au profit des consommateurs et des entreprises. Il favorise le développement de services en ligne et des paiements mobiles, des paiements plus sécurisés et une meilleure protection des consommateurs.

En même temps, la directive vise à améliorer les conditions de concurrence équitables pour les prestataires de services de paiement – y compris les nouveaux acteurs ou FinTechs comme Budget Insight. De nombreux éléments de la PSD2 sont déjà entrés en application dans l’UE le 13 janvier 2018 et d’autres améliorations sont entrées en vigueur le 14 septembre.

Les principaux apports de la DPS2 :

  1. La DSP2 introduit de fortes exigences de sécurité pour les paiements électroniques et pour la protection des données financières des consommateurs afin de garantir leur confidentialité respecté par tous les opérateurs du marché (depuis septembre 2019);
  2. La DSP2 ouvre le marché des paiements de l’UE à la concurrence : la PSD2 prépare le terrain pour l’avenir. Avec des services financiers en ligne en constante évolution, les nouvelles règles s’appliqueront également aux banques traditionnelles et aux services de paiement innovants et aux nouveaux fournisseurs, tels que les FinTechs. Les prestataires de services de paiement tiers (TPP), seront désormais régis par les règles de l’UE. Budget Insight initie des paiements au nom des clients et donne aux commerçants l’assurance que l’argent est en route, ou donnent une aperçu des comptes et des soldes disponibles pour leurs clients;
  3. La DSP2 améliore la procédure de plaintes.

Un établissement de paiement est une personne morale prestataire de services de paiement autre qu’un établissement de crédit ou la Banque de France, l’Institut d’émission des départements d’outre-mer, le Trésor public, la Caisse des dépôts et consignations. Les services de paiement comprennent pour l’essentiel :

  • Les services permettant de verser ou retirer des espèces sur un compte de paiement ainsi que les opérations de gestion d’un tel compte ;
  • L’exécution d’opérations de paiement associée à un compte de paiement (paiements par carte, virements et prélèvements) ;
  • La transmission de fonds ;
  • L’émission d’instruments de paiement et/ou l’acquisition d’ordre de paiement.
  • Les services d’initiation de paiement et d’information sur les comptes (services proposés par Budget Insight)

Un établissement de paiement est agréé par l’ACPR.

La principale innovation de la DSP2 est la reconnaissance de deux nouveaux services de paiement qui permettent à un tiers de s’interposer entre un utilisateur et son PSPGC -Prestataires de services de paiement gestionnaires de comptes (Banques ou établissements de crédit)-:

  1. le service d’initiation de paiement et
  2. le service d’information sur les comptes.

A titre liminaire, seul les comptes de paiements sont dans le périmètre de la DSP2. Par exemple, les comptes bancaires avec une carte de paiement ou chèque sont des comptes de paiement, cela est sous le périmètre de la DSP 2. Un livret A est un compte d’épargne qui n’est pas dans le périmètre de la DSP2.

Ces prestataires qui fournissent ces services, comme les autres établissement de paiement, font l’objet d’un agrément auprès de l’ACPR (autorité de Contrôle Prudentiel et de Résolution) et être couverts par une assurance responsabilité civile professionnelle équivalente couvrant les territoires où ils fournissent leur service. Pour plus de transparence, les prestataires agrémentés sont indiqués au registre des agents financiers (Regafi).

Dans le cas du BtoB, par exemple pour des services comptabilisation automatique des opérations transitant sur les comptes de paiement, la mise en place d’un programme de fidélisation ou l’évaluation de la solvabilité d’un client, trois catégories impliquant des conséquences réglementaires différentes en terme de statut existent:

  1. Les marques blanches : le partenaire doit alors être autorisé par l’ACPR en tant qu’établissement de crédit, ou prestataire d’informations sur les comptes (PSIC) et/ou d’initiation de paiement et doit donc répondre aux exigences de ce statut comme la souscription de l’assurance en responsabilité professionnelle. Il est par ailleurs important de souligner que, conformément à l’arrêté du 3 novembre 2014 relatif au contrôle interne, le prestataire de service essentiel externalisé doit lui-même être autorisé par l’ACPR en tant que PSIC.
  2. L’agent ou le co-branding: Le partenaire doit alors être mandaté en tant qu’agent de service de paiement du PSIC. Les services de paiement sont fournis sous la responsabilité du PSIC qui dispose, par ailleurs, d’un pouvoir de contrôle conformément à l’article L.523-3 du code monétaire et financier.
  3. Le partenariat ou redirection : Aucune formalité auprès de l’ACPR n’est requise en ce qui concerne le partenaire, qui ne joue ici aucun rôle au regard de la fourniture de services de paiement. L’agrégation et la sécurité des données sont de la seule responsabilité du fournisseur de service d’agrégation des comptes, ou d’initiation de paiement.

Les données à caractère personnel que nous collectons ne font l’objet d’aucun traitement en-dehors du territoire français. En effet, celles-ci sont localisées dans nos serveurs gérés par notre sous-traitant OVH situé en France pour l’hébergement des données.

Pour votre complément d’informations, notre sous-traitant relatif au chiffrement de nos données est la société GEMALTO (groupe Thalès) dont les structures se situent sur le territoire français. Nous nous sommes assurés pour ces deux sous-traitants de leur conformité au RGPD.

Dans le cadre de notre mise en conformité avec le RGPD, nous avons mis en place toutes les procédures nécessaires au respect du règlement.

En effet, dès lors qu’un utilisateur final manifeste la volonté d’exercer ses droits conformément aux articles 15 et suivants du règlement auprès de vous ou directement à l’adresse de notre délégué à la protection des données : dpo@budget-insight.com, aussi, dans le cadre de notre politique de confidentialité que nous vous invitons à consulter à cette adresse : https://www.budget-insight.com/data-policy, nous rappelons aux utilisateurs finaux leurs droits.

Nous avons mis en place une procédure de gestion des sinistres et un répertoire des violations survenues à l’encontre des données personnelles. En effet dans le cas où il y a une perte ou un vol de données, autrement dit, une violation de nature à devoir contacter la CNIL, nous avons mis en place une procédure qui consiste, dans les 72 heures après en avoir eu connaissance à :

  • Réaliser d’une première investigation de la situation
  • Arrêter temporairement si nécessaire le service concerné
  • Organiser si nécessaire audit technique et réunions d’urgence
  • Mettre en place des mesures correctrices et rédaction d’un rapport d’incident
  • Éventuelle notification pour la CNIL

Nous avons mis en place des mesures de protection des données adéquates :

  • Contrôle d’accès logique des utilisateurs
  • Chiffrement des données
  • Sécurité de l’exploitation (authentification des équipements)
  • Organisation (habilitation des employés)
  • Traçabilité (journalisation des accès)
  • Supervision (audits)
  • Notification des éventuelles violations aux personnes concernées et prescription de mesures
  • Sauvegarde du serveur
  • Sécurité des matériels (protection physique des serveurs)
  • Maintenance des matériels
  • Archivage (en base active, intermédiaire, suppression)

Vous trouverez lesdites attestations de nos assurances contre le cyber-risque sur demande à : dpo@budget-insight.com

Découvrez
Notre offre multi-API

API BUDGEA BANK

API BUDGEA BILL

API BUDGEA WEALTH

API BUDGEA PAY

Garanties de sécurité et de
conformité DSP2

Budget Insight est agréée par l’ACPR et répond au plus haut niveau d’exigences réglementaires et de sécurité.