Êtes-vous conforme aux nouvelles règles de sécurité des données de Nacha ?
En 2013, le cadre de sécurité de l’Automated Clearing House (ACH) a été mis en place afin de protéger les données ACH tout au long de leur cycle de vie. Ce cadre a permis de protéger les « renseignements protégés » ou « les renseignements personnels non publics, y compris les renseignements financiers d’une personne physique utilisés pour créer ou contenus dans une entrée et tout dossier d’addenda connexe ». Mais le monde a beaucoup changé depuis 2013 et afin de bénéficier aux utilisateurs et aux fournisseurs de l’ACH, la National Clearing House Association (Nacha) accède continuellement au cadre pour assurer la transmission sécurisée des données, la validation du numéro de routage, la vérification de l’identité, la détection de la fraude, etc.
Nacha a introduit des exigences supplémentaires en matière de sécurité des données, qui exigent explicitement que les grands initiateurs non-FI, les fournisseurs de services tiers (TPSP) et les expéditeurs tiers (TPS) protègent les informations de compte de dépôt en les rendant illisibles lorsqu’elles sont stockées électroniquement.
- La phase 1 de la règle, qui s’applique aux initiateurs d’ACH et aux tiers avec plus de 6 millions de paiements ACH par an, entre maintenant en vigueur le 30 juin 2021
- La phase 2 de la règle, qui s’applique aux initiateurs d’ACH et aux tiers avec plus de 2 millions de paiements ACH par an, entre maintenant en vigueur le 30 juin 2022.
Comment les exigences en matière de sécurité des données évoluent-elles ?
Bien que les exigences actuelles d’ACH exigent que certaines parties impliquées dans les transactions ACH obscurcissent les informations de compte, elles n’exigent pas explicitement l’obscurité des initiateurs d’institutions non financières, des fournisseurs de services tiers (TPSP) et des expéditeurs tiers (TPSP). Les nouvelles exigences font partie d’un projet plus vaste visant à sécuriser en permanence les données des consommateurs, quelle que soit la technologie ou le type de paiement utilisé.
Comment pouvez-vous vous préparer ?
La nouvelle sécurité supplémentaire des données est neutre par rapport aux méthodes/ technologies / intégrations que les organisations utilisent pour rendre les données ou les informations de compte illisibles lorsqu’elles sont stockées électroniquement, mais les TPSP, les initiateurs non-FI et les TPS devraient réfléchir attentivement à la mise en œuvre d’une solution de protection des données à long terme évolutive et durable. Certaines méthodes possibles incluent le cryptage, la troncation, la tokenisation, la destruction et le stockage, la tokenisation ou l’hébergé de données par un ODFI.
Pour plus d’informations sur la date limite à venir et comment se préparer, consultez notre ebook informatif : L’état actuel de la sécurité des données dans les paiements (et comment se conformer). Ou consultez notre webinaire à la demande avec Nacha.
Comment Trustly Sécurise les données
Trustly les clients n’auront pas à se soucier du maintien de la conformité. Trustlyla solution certifiée SOC2 permet d’assurer la sécurité et l’intégrité des données au repos et en transit. Trustly a mis en œuvre trois contrôles pertinents à la sécurité et à la disponibilité des données :
- Chiffrement des données au repos et en transit : Toutes les données qui circulent dans le Trustly la plateforme bancaire en ligne est protégée par le protocole TLS. Les informations personnelles identifiables (PII) sont cryptées sur le terrain sur notre base de données selon les normes les plus élevées de l’industrie.
- Tokenisation fractionnée : la tokenisation fractionnée est une Trustly méthode en instance de brevet utilisée pour stocker des informations très sensibles. Il fonctionne en assemblant les informations d’identification bancaires, y compris les réponses aux questions de sécurité, les cookies et les empreintes digitales de l’appareil en tant qu’objet de classe. Cet objet est ensuite sérialisé, compacté, crypté et divisé en deux morceaux (jetons divisés). Cette méthode permet de s’assurer que : Trustly ne stocke jamais les informations d’identification du compte.
- Sécurité cloud continuellement mise à jour : Notre infrastructure est entièrement déployée sur le cloud avec les derniers correctifs de sécurité - les clés de chaque déploiement sont modifiées plusieurs fois par semaine.