Eligibilité

Les ressources de cette API ne peuvent être consommées que si vous avez obtenu le statut prestataire de services de paiement (PSP) agréé. Ce statut est délivré par les autorités financières du pays dans lequel la demande est effectuée. En France, il s’agit de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), liée à la Banque de France.

https://acpr.banque-france.fr/sites/default/files/medias/documents/jch_20180403_conference_securite_des_paiements.pdf

L’obtention et la conservation d’un agrément relèvent de procédures rigoureuses afin d’apporter des garanties fortes aux utilisateurs des services de paiements ; les formulaires sont disponibles sur le site de l’ACPR :

https://acpr.banque-france.fr/autoriser/procedures-secteur-banque/tous-les-formulaires 

 

Une fois l'agrément donné, le format de cet identifiant (Organisation Identifier = OID) fourni par l'autorité compétente est (en MAJUSCULE) :

PSDXX-YYYYYYYY-ZZZZZZZZ:

XX => code ISO 3166 du pays de l'autorité compétente 

hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))

YYYYYYYY => 2-8 caractères du l'identifiant de l'autorité compétente (A-Z, pas de séparateur)

hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))

ZZZZZZZZ => identifiant du PSP spécifié par l'autorité nationale compétente (sans restriction sur le nombre - ou sur le type - de caractère utilisé)

 Cet identifiant OID est important à 2 titres :

Pour vous enregistrer en tant que TPP au travers du processus de "GO Live" via notre portail 89C3 API (ancienne procédure)

Il vous servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id") ; 

Ou pour vous enregistrer en tant que TPP ou pour enregistrer votre(vos) agent(s) via l’API register (nouvelle procédure)

Il vous permettra d’obtenir le client_id de chacune de vos applications consommatrices de nos API. Ce dernier vous servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id") ; 

Il vous permettra d’obtenir le client_id de chacune des applications consommatrices de nos API pour vos agents. Ce dernier leur servira à s’identifier lors de leurs appels dans les requêtes des API STET (via le paramètre "client_id") ; 

Il devra être présent dans les certificats eIDAS que vous ou vous agents fournirez au teneur de compte (voir ci-dessous).

  

De plus, vous devez disposer de certificats délivrés par une autorité de certification reconnue (Qualified Certification Service Providers - QTSP : https://webgate.ec.europa.eu/tl-browser/#/) conformes au règlement eIDAS (electronic IDentification And trust Services : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/) et respectant la norme ETSI (https://www.etsi.org/deliver/etsi_ts/119400_119499/119495/01.02.01_60/ts_119495v010201p.pdf).

 

Afin de consommer les API DSP2 proposées sur le portail du groupe BPCE, vous aurez à nous transmettre vos certificats QWAC et QSEALC : 

  • de test pour le fonctionnement de l’assemblage en sandbox
  • de production que vous nous aurez transmis lors de votre enregistrement en tant que TPP consommateur de nos API,
    • soit lors du processus de "GO Live" via notre portail 89c3 API (ancienne procédure);
    • soit via l’API register (procédure actuelle)

 

Seules les clés publiques (ou empreintes publiques) au format ".pem" sont nécessaires. Des contrôles sur les données des certificats seront effectués à partir des registres Français (REGAFI : https://www.regafi.fr) et Européen (ABE ou EBA : https://euclid.eba.europa.eu/register/pir/disclaimer).

Vous pouvez également consulter l'assistant virtuel au sujet du principe de l'agrément.