Eligibilité

Les ressources de l'API "Initiation de paiements" ne peuvent être consommées que par des PSP ayant le rôle de Prestataires de Services d'initiation de Paiement (PISP). Ce statut est délivré par les autorités financières du pays dans lequel la demande est effectuée ; en France il s’agit de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), liée à la Banque de France.

https://acpr.banque-france.fr/sites/default/files/medias/documents/jch_20180403_conference_securite_des_paiements.pdf

L’obtention et la conservation d’un agrément relèvent de procédures rigoureuses afin d’apporter des garanties fortes aux utilisateurs des services de paiements, les formulaires étant disponibles sur le site de l’ACPR : https://acpr.banque-france.fr/autoriser/procedures-secteur-banque/tous-les-formulaires 

Une fois l'agrément donné, le format de cet identifiant (Organisation Identifier = OID) fourni par l'autorité compétente est :

PSDXX-YYYYYYYY-ZZZZZZZZ:

XX =>code ISO 3166 du pays de l'autorité compétente 
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
YYYYYYYY => 2-8 caractères du l'identifiant de l'autorité compétente (A-Z, pas de séparateur)
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
ZZZZZZZZ => identifiant du PSP spécifié par l'autorité nationale compétente (sans restriction sur le nombre - ou sur le type - de caractère utilisé)

Cet identifiant OID est important à 2 titres :

Si vous vous êtes enregistrés en tant que TPP au travers du processus de "GoLive" via notre portail 89C3 API.

  • Il vous servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id") ; 

Ou pour vous enregistrer en tant que TPP ou pour enregistrer votre(vos) agent(s) via l’API register

  • Il vous permettra d’obtenir le client_id de chacune de vos applications consommatrices de nos API. Ce dernier vous servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id") ; 
  • Il vous permettra d’obtenir le client_id de chacune des applications consommatrices de nos API pour vos agents. Ce dernier leur servira à s’identifier lors de leurs appels dans les requêtes des API STET (via le paramètre "client_id") ; il devra être présent dans les certificats eIDAS que vous ou vous agents fournirez au teneur de compte (voir ci-dessous).

De plus, vous devez disposer de certificats délivrés par une autorité de certification reconnue (Qualified Certification Service Providers - QTSP : https://webgate.ec.europa.eu/tl-browser/#/) conformes au règlement eIDAS (electronic IDentification And trust Services : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/) et respectant la norme ETSI (https://www.etsi.org/deliver/etsi_ts/119400_119499/119495/01.02.01_60/ts_119495v010201p.pdf).

Afin de consommer les API DSP2 proposées sur le portail du groupe BPCE, vous aurez à nous transmettre vos certificats QWAC et QSEALC : 

  • de test pour le fonctionnement de l’assemblage en sandbox ;
  • de production lors du processus de demande de GO Live sur le portail 89C3 API.

Seules les clés publiques au format .pem sont nécessaires. Des contrôles sur les données des certificats seront effectués à partir des registres Français (REGAFI : https://www.regafi.fr) et Européen (ABE ou EBA : https://euclid.eba.europa.eu/register/pir/disclaimer).

Vous pouvez également consulter l'assistant virtuel au sujet du principe de l'agrément.