La start-up australienne Payble accélère la mise en conformité au CDR en collaborant avec des partenaires AWS

Lorsque les législateurs australiens ont promulgué la loi (CDR) en 2020, les sociétés de services financiers de tout le pays sont devenues éligibles à l’open banking – une pratique qui permet aux consommateurs d’accéder à leurs données bancaires et de les contrôler. Toutefois, pour recevoir les données bancaires ouvertes des clients, les banques et les autres institutions devaient devenir des destinataires de données accrédités (ADR) par la Commission australienne de la concurrence et de la consommation (ACCC). Cela implique la mise en œuvre de garanties et de règles de confidentialité strictes pour garantir une protection et une gestion sécurisées des données.

Le chemin vers l’accréditation CDR est complexe et prend du temps, il s’agit d’un défi que Payble ne connaît que trop bien. La mission de cette fintech australienne est de mettre fin à la « billxiety » – un sentiment évitable de détresse et d’anxiété causé par une mauvaise expérience de facturation ou de paiement. Son module de facturation innovant aide les entreprises et les administrations locales à proposer à leurs clients des options de paiement flexibles et pratiques.

« Le fait que le CDR soit relativement nouveau en Australie implique qu’il n’existe pas de méthode facile à copier et à mettre en œuvre », explique Elliott Donazzan, cofondateur et directeur général de Payble. « Outre les exigences spécifiques, certaines nuances ne s’appliquent pas aux réglementations générales auxquelles nous sommes habitués. De plus, la mise au point d’une technologie adaptée à tous les besoins nécessite beaucoup de travail. La conformité au CDR ne faisant pas partie de notre activité principale, nous avions besoin des bons partenaires pour nous aider à obtenir l’accréditation. »

Depuis sa création, Payble fonctionne sur le cloud Amazon Web Services (AWS) et utilise une gamme de ses services pour soutenir son environnement d’application. Grâce à cette collaboration, Payble a rejoint un réseau de partenaires AWS spécialisés dans l’accélération de l’accréditation CDR et des solutions technologiques du secteur des technologies financières. Ce réseau comprend DNX, une société de conseil en technologie cloud ; AssuranceLab, une société d’assurance moderne fournissant des accréditations pour le CDR et les normes mondiales ; Astero, une société de cybersécurité spécialisée dans l’open banking et le CDR ; et Adatree, une plateforme CDR propriétaire conçue par AWS pour les destinataires des données. Helder Klemp, PDG de DNX, déclare : « Nous avons échangé avec Adatree et avons commencé à partager des stratégies d’ingénierie. Après avoir discuté avec AWS de certains des autres partenaires avec lesquels nous pourrions travailler, nous avons décidé de développer conjointement une solution pour aider les entreprises à obtenir leur accréditation. »

Les partenaires ont créé « CDR in a Box », une solution visant à aider les entreprises à se conformer au CDR et à devenir des ADR. La solution comprend une plateforme partenaire basée sur le cadre AWS Well-Architected et intègre les principaux composants de sécurité AWS, notamment AWS Security Hub, Amazon GuardDuty, AWS Identity and Access Management (IAM) et AWS Key Management Service (KMS).

« CDR in a Box » comprend ADR Accelerator, une solution commerciale basée sur des modèles, développée conjointement par Adatree et Astero, conçue pour aider les entreprises à accélérer leur application ADR. Adatree propose un pack de modèles de préparation pour les ADR, axé sur les applications commerciales requises pour obtenir l’accréditation. La plateforme d’Adatree est également basée sur AWS et s’exécute sur une gamme de services AWS.

Astero a mis son expertise en cybersécurité au service de la solution « CDR in a Box », notamment en matière de documentation technique sur la sécurité et de services d’évaluation des contrôles requis pour l’accréditation. « CDR in a Box garantit que les clients suivent une approche de conformité axée sur la sécurité et le risque », déclare Sandeep Kumar, PDG d’Astero. « La première étape est d’aider les clients à définir les limites et les flux de données de leur environnement de données CDR, à effectuer une évaluation des menaces et à mettre en œuvre les contrôles de sécurité appropriés. »

AssuranceLab a mis son expertise et ses compétences en matière d’accréditation au service de la solution « CDR in a Box » pour établir la documentation en matière de sécurité technique requise pour les audits CDR. « En tant que groupe, nous avons combiné les offres de quatre experts en une unique solution fluide pour Payble », déclare Paul Wenham, PDG d’AssuranceLab. « En comprenant l’approche de chacun et en travaillant efficacement ensemble, nous avons éliminé les incertitudes et les perturbations commerciales pour permettre à Payble de se concentrer sur son cœur de métier. »

Payble a utilisé ADR Accelerator pour fournir la documentation sur l’état de préparation à l’audit des applications ADR de l’entreprise. DNX a également soutenu Payble tout au long du processus d’audit, en proposant des fonctionnalités de conformité automatisées. L’offre combinée des partenaires comprend des conseils et une assistance spécifiquement adaptés aux activités de Payble.

En tirant parti de l’Industry Sandbox d’Adatree et de la solution bien conçue développée conjointement par les partenaires AWS, Payble a mis au point un environnement prêt pour l’audit en seulement quatre semaines. « Le sentiment qui règne dans le secteur en Australie est que le CDR est trop difficile à mettre en place en raison des contraintes de temps et de coûts. Mais les start-ups en ont besoin pour proposer quelque chose de convaincant sur le marché », explique Sandeep Kumar, « nous essayons de simplifier l’accès au CDR tout en respectant les exigences en matière de conformité. »

« En tant que start-up, nous devons agir rapidement et bénéficier au plus vite des avantages de la conformité au CDR », déclare Elliott Donazzan. « Grâce à la collaboration avec les partenaires AWS, nous avons terminé l’application ADR plus tôt que prévu, ce qui nous a permis de nous concentrer sur notre cœur de métier plutôt que sur le processus de conformité au CDR. » Outre l’accréditation, Payble bénéficie également d’une base solide en matière de sécurité et de conformité pour ses activités.

Payble a réduit la nécessité de recruter du personnel spécialisé pour les audits internes grâce aux services combinés d’évaluation des contrôles, de technologie, de documentation et de sécurité des partenaires AWS. « Nous avons un unique interlocuteur pour les questions de conformité, et la solution partenaire AWS nous a permis d’éviter de recruter davantage de personnes pour travailler sur le processus d’accréditation », explique Elliott Donazzan.

La solution a également permis de rationaliser l’engagement entre Payble et les auditeurs de conformité. « La mise en conformité au CDR est essentielle, mais les start-ups ne disposent pas nécessairement des ressources nécessaires pour prendre en charge les coûts d’embauche d’un responsable de la conformité en matière de sécurité à plein temps ou d’ingénieurs », explique Sandeep Kumar. « Grâce aux fonctionnalités d’automatisation de notre solution, Payble n’a pas eu à partir de zéro pour comprendre les règles CDR et créer des politiques de sécurité. Au contraire, l’entreprise a pu agir rapidement et efficacement sur l’ensemble du processus. »

« CDR in a Box » sur AWS a permis à Payble de rationaliser l’ensemble du processus, de supprimer la nécessité coûteuse de recruter du personnel spécialisé et d’éviter de déployer des recherches fastidieuses pour la conception des technologies et la préparation de la documentation. « Nous envisagions une solution de conformité qui aurait coûté deux fois plus cher que l’option proposée par les partenaires AWS », explique Elliott Donazzan. Au total, Payble a dépensé moins de 90 000 USD en frais d’infrastructure, de documentation et d’audit. « Dans le secteur des services financiers, les solutions complètes de mise en conformité peuvent coûter bien plus cher que cela », explique Sandeep Kumar.

En novembre 2021, Payble a été accréditée en tant que destinataire de données illimité. Quelques semaines plus tard, l’entreprise a obtenu le statut actif sur la plateforme d’Adatree. Payble est ainsi devenue la première entreprise australienne à atteindre cet objectif par le biais d’un intermédiaire. Sandeep Kumar conclut : « Les audits peuvent s’avérer complexes et pénibles, mais en tant qu’équipe, nous avons travaillé ensemble pour simplifier le processus. Notre collaboration avec Payble se poursuivra dans le futur. »

 Pour en savoir plus, consultez le site aws.amazon.com/compliance.