Utiliser le fallback

➤ Principe

Conformément à la réglementation, les établissements du groupe BPCE ont mis en place une interface dédiée aux prestataires de services de paiement : il s’agit des API REST DSP2 publiées.

Si les API DSP2 exposées sont défaillantes, le prestataire des services de paiements pourra utiliser la solution couvrant les "mesures d'urgence applicables à une interface dédiée" (ou "fallback") dont le principe est le suivant :

 

fallback FR2 gnrique

 

Cette solution répond aux exigences règlementaires de la DSP2 (article 33 des RTS). Vous pourrez l'utiliser avec les mêmes conditions et pré-requis décrits dans la rubrique "Eligibilité".



➤ Roadmap

Retrouvez ci-dessous les éléments de notre trajectoire prévisionnelle :

Version

Fonctionnalités

Sandbox

Date de déploiement

89C3 API Dev Portal & Sandbox

Live

Date de déploiement

89C3 Live API Gateway
v1.0 Fallback (*) Non applicable Fin Septembre 2019

(*) Fonctionnalités Principales :

  • Utilisation par le TPP du même endpoint que l’interface dédiée. Il dépend donc du code établissement <cdetab = 13807> qui permet d'adresser le bon référentiel client.
  • Un paramètre de requête (header "fallback:1" présent ou absent) ajouté par le TPP permet de distinguer une requête "Fallback" d'une requête API via l'interface dédiée qui doit être utilisée systématiquement
  • Authentification du TPP via authentification mutuelle TLS par un certificat eIDAS (QWAC)
  • Sécurisation identique à celle d'un accès à la banque en ligne du PSU (même interface utilisée par le PSU qu’en accès direct, et mêmes moyens d’authentification du client)
  • Dans le cadre de la montée en charge de l’usage de l’interface dédiée (API), il n'est pas mis en place de bascule dynamique : la solution fallback est toujours active
  • La solution de fallback est une solution de secours ne devant pas être utilisée comme moyen principal d'accès pour proposer les services DSP2. Son usage en est monitoré et tout usage abusif par un/des TPP sera automatiquement reporté auprès de l’autorité nationale compétente.



➤ Exemple

1. Dans le cas où les API DPS2 sont indisponible de façon imprévue ou le système tomberait en panne (voir critères dans le texte RTS Art. 33), le TPP peut alors envoyer la requête :

       POST https://www.<codetab>.live.api.89c3.com/stet/psd2/oauth/token 

avec par exemple <codetab> =

  • 13807 pour BPGO
  • 10548 pour Banque de Savoie
  • 40978 pour Banque Palatine

avec :

  • son certificat eIDAS QWAC de production
  • le paramètre header (fallback:"1")  

              headr fallback 1

POST /stet/psd2/oauth/token HTTP/1.1

Content-Type: application/x-www-form-urlencoded

X-Request-ID: 1234

fallback: 1

User-Agent: PostmanRuntime/7.16.3

Accept: */*

Cache-Control: no-cache

Host: www.13807.live.api.banquepopulaire.fr

Accept-Encoding: gzip, deflate

Content-Length: 67

Connection: keep-alive

client_id=PSDFR-ACPR-12345&grant_type=client_credentials&scope=aisp

 

2. Si les vérifications sont positives, nous allons vous renvoyer dans le header une url de type à utiliser dans le cadre de la redirection vers l'environnement de la banque en ligne, et qui contient un jeton JWT (champs "&fallback=") qui doit être aussi utilisé dans ce cadre :

HTTP/1.1 302 Found

Date: Tue, 25 May 2021 21:46:59 GMT

Location: https://www.ibps.bpgo.banquepopulaire.fr/se-connecter/sso?service=cyber&cdetab=13807&fallback=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImhF...

Content-Length: 870

Connection: close

Content-Type: text/html; charset=iso-8859-1

</head><body>

<h1>Found</h1>

<p>The document has moved <a href="/www.13807.live.api.banquepopulaire.fr&fallback=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImhF...">here</a>.</p>

</body></html>


3. Une fois redirigé, le TPP doit utiliser ensuite les identifiants du PSU via sa méthode propriétaire

 

book picto Pour plus de détails sur la requête POST, voir STET V1.4.2.17 / Part I / section 3.4.3



➤ Limites

Les contraintes de cette solution sont les suivantes :

  • Pas de réutilisation du contexte de l’interface dédiée, ni du jeton d’accès valable 90 jours (AISP)
  • Suite à la mise en place de la nouvelle solution de banque en ligne, le fallback permet de rester sur les anciens écrans de la banque en ligne
  • Seules les fonctionnalités DSP2 présentes sur la banque en ligne (référence: banque à distance sur internet fixe - pas la banque sur mobile) sont accessibles via le fallback. Par exemple, les services de banque en ligne ne proposent pas de paiement e-commerce. Cette fonctionnalité PISP n’est donc pas disponible en mode fallback
  • Le client utilisateur des services (PSU) doit être connecté à l'application du TPP (pas de possibilité de traitement batch AISP pour venir récupérer les données consenties du client). La DSP2 imposant également un renforcement des moyens d’authentification forte (AF/SCA) systématique pour les accès à la banque à distance/en ligne, les moyens d’authentification fournis aux clients PSU seront utilisés (liste non exhaustive) :   
    • Soft token
    • OTP SMS
    • Clé physique (pour les entreprises)