Agréger les données

Un client multi bancarisé souhaite accéder à l’ensemble de ses données afin d’en avoir une vision consolidée.

Via cette API "information sur compte" mise à disposition par les teneurs de comptes, vous pouvez demander en temps réel l’accès à l’une et/ou l’autre des données que le client a autorisé SANS lui demander ses identifiants de connexion en ligne.

Les ressources de cette API ne peuvent être consommées que si vous avez obtenu le rôle de prestataire de Services d’Information sur les Comptes ("TPP AISP"), ce prérequis étant décrit dans voir la rubrique "Éligibilité".

Le processus global est le suivant : 

 

  cinématique AISP v3 générique

 

Le client souhaite utiliser les services d'un TPP afin de consolider des informations d’un compte de paiement détenu auprès d'une banque. Il indique donc laquelle à travers les interfaces du TPP.

 

phase02

Lors de ce premier échange, le TPP va faire une demande de jeton d'autorisation (et d'un jeton de rafraichissement). Le principe de base est, qu'en tant que TPP AISP, vous devez obtenir ces jetons AVANT de consommer des ressources de l’API. Ce jeton est généré par le teneur de compte (ASPSP) APRES avoir identifié et authentifié le client. 

En tant que teneur de compte :

  • nous allons vérifier vos certificats et agréments
  • et via la redirection web, nous allons identifier et authentifier fortement le client afin de pourvoir générer le jeton d’accès

 

phase03

Si l’autorisation est accordée par le client, le TPP pourra alors récupérer les jetons OAUTH2 via des échanges sécurisés avec la plateforme 89C3 API (voir la rubrique "Vue d'ensemble" > "Récupérer votre jeton").

 

phase04

En présentant ce jeton d'autorisation, le TPP pourra consommer les ressources de l'API "information sur compte" afin de :

  • demander la liste des comptes de paiements éligibles DSP2

  • nous transmettre le consentement client

  • accéder de manière sécurisée aux données dont l’accès a été autorisé (voir la rubrique "Vue d'ensemble" > "Comment consommer l'API ?").

 

Au bout du délai réglementaire, ce processus devra être reconduit (voir la rubrique "Vue d'ensemble" > "Rafraîchir votre jeton").

NB : le gestionnaire de compte ASPSP a la possibilité de vous refuser l'accès pour différents motifs justifiés (API non conforme, compte bloqué entre-temps, etc.).