BPCE DEVELOPER PORTAL - 89C3 API

Exemple et principe de base

Un de nos clients porteur de votre carte de crédit privative effectue une transaction sur un site d’e-commerce avec celle-ci. Le client a donné, au préalable, une délégation à votre établissement.

Via cette API "Disponibilité des fonds" mise à disposition par la Banque Populaire, vous pouvez demander en temps réel la confirmation que le client a suffisamment de fonds sur son compte pour couvrir le montant de cette transaction SANS lui demander ses identifiants de connexion en ligne, réduisant de fait votre exposition au risque d’impayé.

La banque répond positivement ou négativement en fonction du solde minute du client. Cependant, la banque n'effectue aucun blocage de fonds correspondant au montant de la transaction et n'enregistre pas cette transaction.

Les ressources de cette API ne peuvent être consommées que par des prestataires ayant le rôle d'émetteurs d’instruments de paiement liés à une carte ("CBPII" ou "PIISP" suivant la version STET utilisée), ce prérequis étant décrit dans voir la section "Éligibilité".

Une fois ce prérequis rempli, le processus global est le suivant :

phase01

1- Vous avez établi un contrat avec le client, vous lui avez délivré une carte avec prélèvement domicilié dans une Banque Populaire. Il vous l’indique à travers vos interfaces.

phase02

2- Lors du premier échange avec les infrastructures du teneur de compte, vous allez faire une demande de jeton d’autorisation (et un jeton de rafraichissement). Le principe de base est, qu'en tant que TPP CBPII, vous devez obtenir ces jetons AVANT de consommer les ressources de l'API. Ce jeton est généré par le teneur de compte (ASPSP) APRES avoir identifié et authentifié le client.

En tant que teneur de compte, nous allons :

vérifier vos certificats et agréments ;
et via le jeu de la redirection, nous allons identifier et authentifier fortement le client afin de récupérer son consentement et de générer le jeton d’accès.

phase03

3- Si l’autorisation est accordée par le client, vous pourrez ensuite récupérer un jeton d'accès OAUTH2 (et son jeton de rafraichissement) via des échanges sécurisés avec la plateforme 89C3 API (voir le cas d'usage "Récupérez votre jeton d'accès !").

phase04

4- En présentant ce jeton d'autorisation valable 90 jours, vous pourrez alors consommer les ressources de l'API "disponibilité des fonds" et réduire votre risque d’impayé en interrogeant la banque sur l’existence de la provision sur le compte du client correspondant au montant du paiement (voir le cas d'usage "Vérifiez la disponibilité des fonds").

Au bout du délai réglementaire de 90 jours, ce processus devra être reconduit (voir le cas d'usage "Rafraichissez votre jeton !").

NB : le gestionnaire de compte ASPSP a la possibilité de vous refuser l'accès pour différents motifs justifiés (API non conforme, compte bloqué entre-temps, etc..).