Eligibilité

Les ressources de cette API ne peuvent être consommées que par des PSP ayant le rôle "CBPII". Ce statut est délivré par les autorités financières du pays dans lequel la demande est effectuée ; en France il s’agit de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), liée à la Banque de France.

L’obtention et la conservation d’un agrément relèvent de procédures rigoureuses afin d’apporter des garanties fortes aux utilisateurs des services de paiements, les formulaires étant disponibles sur le site de l’ACPR https://acpr.banque-france.fr/autoriser/procedures-secteur-banque/tous-les-formulaires.

 

Une fois l'agrément donné, le format de cet identifiant (Organisation Identifier = OID) fourni par l'autorité compétente est PSDXX-YYYYYYYY-ZZZZZZZZ :

XX =>code ISO 3166 du pays de l'autorité compétente 
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
YYYYYYYY => 2-8 caractères du l'identifiant de l'autorité compétente (A-Z, pas de séparateur)
hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))
ZZZZZZZZ => identifiant du PSP spécifié par l'autorité nationale compétente (sans restriction sur le nombre - ou sur le type - de caractère utilisé)

 

Cet identifiant OID est important à 2 titres :

  • il servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id")
  • il devra être présent dans les certificats eIDAS que vous fournirez au teneur de compte (voir ci-dessous)

 

De plus, vous devez disposer de certificats délivrés par une autorité de certification reconnue (Qualified Certification Service Providers - QTSP: https://webgate.ec.europa.eu/tl-browser/#/) conformes au règlement eIDAS (electronic IDentification And trust Services: https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/) et respectant la norme ETSI (https://www.etsi.org/deliver/etsi_ts/119400_119499/119495/01.02.01_60/ts_119495v010201p.pdf).

Afin de consommer les API DSP2 proposées sur le portail du groupe BPCE, vous aurez à nous transmettre vos certificats QWAC et QSEALC : 

  • de production pour le fonctionnement de l’assemblage en sandbox
  • de production de production lors des appels sur notre passerelle 89C3 API Live

 

NB : En cas de renouvellement de certificat, et si l'autorité de certification (QTSP) est différente (ou c'est la même entreprise QTSP mais qui utilise des clés racine différentes), le TPP doit avertir le support API disponible via ce site de 2 mois avant à toutes fins de vérifier que les élements de la nouvelle AC sont bien chargés sur nos infrastuctures. 

 

Un identifiant keyID devra aussi être fourni dans un format conforme à la spécification STET intégrant une empreinte SHA256 après le caractère "_" char,  voir exemple STET V1.4.2 /  Documentation Part 3: Interaction Examples / section 6. AISP Use cases / Signature : keyId=https://path.to/myQsealCertificate_612b4c7d103074b29e4c1ece1ef40bc575c0a87e.

 

Seules les clés publiques au format .pem sont nécessaires. Des contrôles sur les données des certificats seront effectués à partir des registres Français (REGAFI : https://www.regafi.fr) et Européen (ABE ou EBA : https://euclid.eba.europa.eu/register/pir/disclaimer).

Vous pouvez également consulter l'assistant virtuel au sujet du principe de l'agrément.