BPCE DEVELOPER PORTAL - 89C3 API

Eligibilité

Les ressources de cette API ne peuvent être consommées que si vous avez obtenu le statut de Prestataires de Services de Paiement (PSP). Ce statut est délivré par les autorités financières du pays dans lequel la demande est effectuée ; en France il s’agit de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), liée à la Banque de France.

https://acpr.banque-france.fr/sites/default/files/medias/documents/jch_20180403_conference_securite_des_paiements.pdf

L’obtention et la conservation d’un agrément relèvent de procédures rigoureuses afin d’apporter des garanties fortes aux utilisateurs des services de paiements, les formulaires étant disponibles sur le site de l’ACPR : https://acpr.banque-france.fr/autoriser/procedures-secteur-banque/tous-les-formulaires

Une fois l'agrément donné, le format de cet identifiant (Organisation Identifier = OID) fourni par l'autorité compétente est :

PSDXX-YYYYYYYY-ZZZZZZZZ:

XX =>code ISO 3166 du pays de l'autorité compétente
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
YYYYYYYY => 2-8 caractères du l'identifiant de l'autorité compétente (A-Z, pas de séparateur)
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
ZZZZZZZZ => identifiant du PSP spécifié par l'autorité nationale compétente (sans restriction sur le nombre - ou sur le type - de caractère utilisé)

Cet identifiant OID est important à 2 titres :

il servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id") ;
il devra être présent dans les certificats eIDAS que vous fournirez au teneur de compte (voir ci-dessous).

De plus, vous devez disposer de certificats délivrés par une autorité de certification reconnue (Qualified Certification Service Providers - QTSP : https://webgate.ec.europa.eu/tl-browser/#/) conformes au règlement eIDAS (electronic IDentification And trust Services : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/) et respectant la norme ETSI (https://www.etsi.org/deliver/etsi_ts/119400_119499/119495/01.02.01_60/ts_119495v010201p.pdf).

Afin de consommer les API DSP2 proposées sur le portail du groupe BPCE, vous aurez à utiliser des certificats QWAC et QSEALC valides :

de test pour le fonctionnement de l’assemblage en sandbox ;
de production lors du processus de demande de GO Live sur le portail 89C3 API.

En cas de problème d'accès via l'API Register à cause des certificats, nous vérifierons s'ils ont été signés par une nouvelle autorité de certification, ou avec un nouveau certificat racine (d'une autorité de certification existante). Dans ces deux cas, il faudra compte un délai supplémentaire (de l'ordre de 2 semaines) pour ce chargement.

Seules les clés publiques au format .pem sont nécessaires. Des contrôles sur les données des certificats seront effectués à partir des registres Français (REGAFI : https://www.regafi.fr) et Européen (ABE ou EBA : https://euclid.eba.europa.eu/register/pir/disclaimer).

Vous pouvez également consulter l'assistant virtuel au sujet du principe de l'agrément.