La protection des identifiants (RUBIS)
La protection des identifiants est un des points essentiels de RUBIS :
- protection de l'IBAN du créancier
- protection de l'IBAN du débiteur
Cette protection se fait, dans un premier temps comme aujourd'hui, par des règles de bon sens à savoir :
- le débiteur ne fournit pas son IBAN à un créancier dans lequel il a un minimum de confiance
- le créancier gère les données fournies pas son client (le débiteur) suivant les bonnes pratiques de gestion des données personnelles (CNIL)
- la banque du créancier ne fournit jamais l'IBAN d'un débiteur lors de l'arrivée d'un virement
Pour renforcer ce dispositif, RUBIS préconise, lorsque cela est possible, l'utilisation du QXBAN comme alias d'IBAN. De par sa conception le QXBAN ne peut pas être utilisé pour des flux de transferts de fonds, ce qui évite des fraudes aux prélèvements.
Transcodification QXBAN - IBAN entre créancier-entreprise et débiteur-particulier
Le schéma suivant présente le cas ou le créancier à son propre SI alors que le débiteur utilise les interfaces de sa banque.
- le débiteur envoie :
- son RIS2D au créancier : ceci peut se faire au moyen de référentiel ou directement (email, ...)
- soit son IBAN -- moins conseillé mais tout aussi possible
- le créancier extrait le QXBAN du RIS2D
- le créancier formate la demande de règlement (payment-request) en privilégiant l'utilisation du QXBAN pour son client et de l'IBAN pour lui et indiquer le compte sur lequel il veut recevoir le virement.
- la banque du débiteur identifie l'IBAN du débiteur à partir du QXBAN pour le mettre à disposition du SI bancaire. De plus, la banque du débiteur NE DOIT PAS afficher l'IBAN du créancier auprès du débiteur.
- après l'éventuel choix du compte à débiteur et la validation de l'ordre de règlement par le débiteur, la banque de celui-ci :
- réalise un virement avec les IBAN du créancier et du débiteur
- émet une réponse payment-report en indiquant le QXBAN du débiteur et non son IBAN
- la banque du créancier réalise une nouvelle transcodification pour ne faire figurer que le QXBAN du créancier dans les données du payment-report' envoyé au créancier
- dans le cadre de ses bonnes pratiques, le créancier se doit de supprimer l'IBAN connu pour RUBIS et de le remplacer par le QXBAN dès que cela est possible.
Transcodification QXBAN - IBAN entre créancier-entreprise et débiteur-entreprise
Ce cas est plus délicat que le précédent car il nécessite l'envoi de données au système d'information du débiteur. Le schéma suivant est une proposition qui devra être précisée à l'issue des phases d'expérimentation. Pour faciliter la compréhension, le schéma impose l'utilisation du QXBAN systématiquement.
- le débiteur envoie son RIS2D, que le créancier enregistre en tant que QXBAN
- le créancier formate sa payment-request' en indiquant son IBAN pour indiquer sur quel compte il veut recevoir les virements
- la banque du créancier complète la payment-request pour y indiquer AUSSI le QXBAN du créancier
- la banque du débiteur, mémorise l'IBAN du créancier et le supprime de la payment-request avant l'envoi au débiteur
- le débiteur réalise un ordre de règlement en format payment-report avec son IBAN pour indiquer à sa banque quel compte doit être débité et le QXBAN du créancier
- la banque du débiteur doit effectuer :
- un contrôle de cohérence entre le payment-request et le payment-report
- le transcodage entre le QXBAN du créancier et l'IBAN reçu dans le payment-request
- l'émission du virement. Ceci est un changement des pratiques d'émission des virements qui se font par un message d'initiation de type PAIN001, auquel se substitue pour RUBIS le payment-request qui intègre le format ISO PAIN013.
- l'émission du payment-report vers la banque du créancier