Description des services proposés [NORME STET V1.6.2]

➤ Récupérer son jeton d'autorisation

Le client (PSU) doit indiquer l'identité de sa banque teneuse de compte à l'AISP.

L'AISP initie ensuite la séquence de récupération du jeton d'accès OAUTH2 en redirigeant le client via son navigateur internet vers l'infrastructure informatique d'autorisation de la banque teneuse de compte.

La banque teneuse de compte (ASPSP) va :

• Identifier et authentifier le client PSU par l'une des méthodes d'authentification forte proposée préalablement au client

• Demander le consentement au client par l'intermédiaire d'écrans de saisie d'informations

Une fois ces vérifications effectuées et si elles sont concluantes, la banque va rediriger le client vers le site de l'AISP en utilisant les URL de "call-back" (redirection) transmises précédemment ainsi que certains paramètres.

L'AISP va pouvoir alors demander directement à la banque le jeton d'accès OAUTH2 via un appel de type POST.

La banque teneuse de compte (ASPSP) va alors :

• Identifier l'AISP et l'authentifier en tant que TPP via le certificat X509 mis à disposition pour sécuriser l'échange mutuel

• Effectuer des vérifications liées au profil du TPP (validité des certificats eIDAS et du rôle AISP dans le référentiel de place, non révocation de l'agrément DSP2, etc...)

Une fois ces vérifications effectuées et si elles sont concluantes, la banque va renvoyer une réponse HTTP 200 (OK) à l'AISP avec un certain nombre de données.

Dès que le jeton d'accès OAUTH2 délivré par la banque a été récupéré par l'AISP, celui-ci pourra le présenter pour pouvoir consommer les ressources de l'API. 

NB : vous pouvez vous référer au cas d'usage "Comment récupérer son jeton d'accès OAUTH2 ?" pour plus de détails. 

➤ Obtenir la liste des comptes à vue d'un client

Description

Cet appel permet de récupérer la liste des comptes à vue du PSU pour lequel l'AISP est connecté.

Chaque compte est retourné avec les liens permettant de consulter les soldes ou les encours ainsi que les transactions associées à celui-ci.

L'identifiant de ressource fourni pour chaque compte servira de paramètre pour les requête de récupération de soldes et de transactions.

Une pagination de la liste renvoyée peut être faite si le nombre de comptes est élevé, dans ce cas des liens donnant accès à la première page,

la précédente, la suivante et la dernière page faciliteront la consultation des résultats.

Les accès à cette méthode sont limités à 4 accès batch maximum par jour calendaire, pour un client ou pour un TPP, hors pagination. 

Prérequis

Le TPP est présent dans le référentiel des autorisations avec un rôle d'AISP.

Le TPP et le PSU sont liés à l'ASPSP par un contrat.

Lors de cette étape, un code d'autorisation OAUTH2 (ou jeton/token d'accès) a été délivré au TPP par l'ASPSP.

Le TPP et l'ASPSP se sont mutuellement contrôlés et authentifiés.

Le TPP a fourni son jeton d'accès de façon à ce que l'ASPSP puisse identifier le PSU et récupérer le contexte associé.

L'ASPSP a pris en compte le jeton d'accès qui établit le lien entre le PSU et l'AISP.  

Echange de données

Le TPP envoie une requête à l'ASPSP pour récupérer la liste des comptes du PSU. L'ASPSP obtient la liste des comptes du PSU et en constitue une liste.

Le résultat obtenu peut être paginé de façon à répartir les données sur plusieurs pages et rendre l'ensemble plus lisible.

Chaque compte sera détaillé avec ses caractéristiques.

Consultez le cas d'usage "Obtenir la liste des comptes à vue d'un client" sous la rubrique "Cas d'usage AISP".

➤ Obtenir la liste des soldes d'un client

Description

Cet appel permet de récupérer la liste des soldes d'un compte à vue du PSU pour lequel l'AISP est connecté.

Ce service fait suite à la restitution de la liste des comptes et cartes d'un client : un identifiant de ressource correspondant à un compte doit être fourni pour obtenir la liste des soldes.

D'après les spécifications STET, quatre types de soldes peuvent être retournés dans le cas d'un compte passé en paramètre :

• En valeur ("VALU" dans la norme STET) => non applicable

• Comptable ("CLBD" dans la norme STET) => solde comptable en fin de période (semaine / mois / trimestre / semestre / année)

• Instantané ("XPCD" dans la norme STET) => non applicable

• Autre ("OTHR" dans la norme STET) => non applicable

Une pagination de la liste renvoyée peut être faite s'il y a beaucoup de données à afficher, dans ce cas des liens donnant accès à la première page, la précédente, la suivante et la dernière page faciliteront la consultation des résultats.

Les accès à cette méthode sont limités à 4 accès batch maximum par jour calendaire, pour un client, pour un compte ou pour un TPP. 

Prérequis

Le TPP est présent dans le référentiel des autorisations avec un rôle d'AISP.

Le TPP et le PSU sont liés à l'ASPSP par un contrat.

Lors de cette étape, un code d'autorisation OAUTH2 (ou jeton/token d'accès) a été délivré au TPP par l'ASPSP.

Le TPP et l'ASPSP se sont mutuellement contrôlés et authentifiés.

Le TPP a fourni son jeton d'accès de façon à ce que l'ASPSP puisse identifier le PSU et récupérer le contexte associé.

L'ASPSP a pris en compte le jeton d'accès qui établit le lien entre le PSU et l'AISP.

Le TPP a récupéré auparavant la liste des comptes disponibles pour le PSU.  

Echange de données

L'AISP sollicite l'ASPSP pour un des comptes à vue ou une des cartes à débit différé du PSU.

L'ASPSP répond en envoyant la liste des soldes du compte.

L'ASPSP doit fournir au minimum le solde comptable du compte.

L'ASPSP peut fournir d'autres soldes si cela est possible.

D'un point de vue DSP2, tous les soldes qui seront proposés par l'ASPSP via son web Banking service devront provenir de l'API Information sur compte.

Consultez le cas d'usage "Obtenir la liste des soldes d'un compte d'un client" sous la rubrique "Cas d'usage AISP".  

➤ Obtenir la liste des transactions d'un client

Description

Cet appel permet de récupérer la liste des opérations d'un compte à vue du PSU pour lequel l'AISP est connecté.

Les transactions obtenues sont inférieures ou égales à 90 jours par rapport à la date du jour.

Une pagination de la liste renvoyée peut être faite s'il y a beaucoup de données à afficher, dans ce cas des liens donnant accès à la première page, la précédente, la suivante et la dernière page faciliteront la consultation des résultats.

Ce service fait suite à la restitution de la liste des comptes à vue d'un client : un identifiant de ressource correspondant à un compte doit être fourni pour obtenir la liste des transactions.

Les accès à cette méthode sont limités à 4 accès batch maximum par jour calendaire, pour un client, pour un compte ou pour un TPP, hors pagination.

Prérequis

Le TPP est présent dans le référentiel des autorisations avec un rôle d'AISP.

Le TPP et le PSU sont liés à l'ASPSP par un contrat.

Lors de cette étape, un code d'autorisation OAUTH2 (ou jeton/token d'accès) a été délivré au TPP par l'ASPSP.

Le TPP et l'ASPSP se sont mutuellement contrôlés et authentifiés.

Le TPP a fourni son jeton d'accès de façon à ce que l'ASPSP puisse identifier le PSU et récupérer le contexte associé.

L'ASPSP a pris en compte le jeton d'accès qui établit le lien entre le PSU et l'AISP.

Le TPP a récupéré auparavant la liste des comptes à vue disponibles pour le PSU.

Echange de données

L'AISP sollicite l'ASPSP pour un des comptes à vue ou cartes à débit différé du PSU. Il peut fournir certains critères de sélection.

L'ASPSP répond avec une liste de transactions correspondant à la requête.

Le résultat obtenu peut être paginé de façon à répartir les données sur plusieurs pages et rendre l'ensemble plus lisible.

Consultez le cas d'usage "Obtenir la liste des transactions d'un compte d'un client" sous la rubrique "Cas d'usage AISP".

➤ Gestion du consentement d'un client 

Description

Cet appel permet d’enregistrer le consentement d'un PSU (usager d'un service de paiement) pour lequel l'AISP (prestataire de service de paiement) est connecté.

Ce consentement contient le détail des accès consentis par le PSU. Quatre types d’accès peuvent être définis :

• Balances : accès aux soldes d’un ou plusieurs comptes du PSU

• Transactions : accès aux transaction d’un ou plusieurs comptes du PSU

• TrustedBeneficiaries : accès à la liste des bénéficiaires de confiance du PSU

Un enregistrement de consentement est donc réalisé pour un PSU donné, un AISP donné, une opération donnée et un compte donné (sauf pour les accès trustedBeneficiairies).

Chaque nouvel appel de l'AISP au service d'enregistrement du consentement pour un PSU donné, anullera et remplacera le consentement précédent le cas échéant.

Par ailleurs, à la demande du PSU, le consentement pourra être modifié ultérieurement par type d'opération : par exemple, le consentement pour l'accès à l'historique des transactions peut être révoqué alors que le consentement pour les soldes reste actif.

Le consentement est vérifié à chaque requête passée.  

Prérequis

Le prestataire est présent dans le référentiel des TPP avec un rôle d'AISP.

Le TPP et le PSU sont liés à l'ASPSP par un contrat.

Lors de cette étape, un code d'autorisation OAUTH2 (ou jeton/token d'accès) a été délivré au TPP par l'ASPSP.

Le TPP et l'ASPSP se sont mutuellement contrôlés et authentifiés.

Le TPP a fourni son jeton d'accès de façon à ce que l'ASPSP puisse identifier le PSU et récupérer le contexte associé.

L'ASPSP a pris en compte le jeton d'accès qui établit le lien entre le PSU et l'AISP.  

Echange de données

Le PSU communique à l'AISP la liste des comptes et des fonctionnalités pour lesquels un consentement est donné.

L'AISP transmet ces informations à l'ASPSP.

L'ASPSP répond par un code retour http 201. 

➤ Exemple de pagination

 Réponse à la requête GET v1.6.2/accounts?page=1