Eligibilité

Les ressources de cette API ne peuvent être consommées que si vous avez obtenu le statut prestataire de services de paiement (PSP) agréé. Ce statut est délivré par les autorités financières du pays dans lequel la demande est effectuée. En France, il s’agit de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), liée à la Banque de France.

https://acpr.banque-france.fr/sites/default/files/medias/documents/jch_20180403_conference_securite_des_paiements.pdf

L’obtention et la conservation d’un agrément relèvent de procédures rigoureuses afin d’apporter des garanties fortes aux utilisateurs des services de paiements ; les formulaires sont disponibles sur le site de l’ACPR :

https://acpr.banque-france.fr/autoriser/procedures-secteur-banque/tous-les-formulaires 

 

Une fois l'agrément donné, le format de cet identifiant (Organisation Identifier = OID) fourni par l'autorité compétente est (en MAJUSCULE) :

PSDXX-YYYYYYYY-ZZZZZZZZ:

XX => code ISO 3166 du pays de l'autorité compétente 

hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))

YYYYYYYY => 2-8 caractères du l'identifiant de l'autorité compétente (A-Z, pas de séparateur)

hyphen-minus "-" (0x2D (ASCII), U+002D (UTF-8))

ZZZZZZZZ => identifiant du PSP spécifié par l'autorité nationale compétente (sans restriction sur le nombre - ou sur le type - de caractère utilisé)

 

Cet identifiant OID est important à 2 titres :

  • il servira à vous identifier lors des appels dans les requêtes des API STET (via le paramètre "client_id")
  • il devra être présent dans les certificats eIDAS que vous fournirez au teneur de compte (voir ci-dessous)

  

De plus, vous devez disposer de certificats délivrés par une autorité de certification reconnue (Qualified Certification Service Providers - QTSP : https://webgate.ec.europa.eu/tl-browser/#/) conformes au règlement eIDAS (electronic IDentification And trust Services : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/) et respectant la norme ETSI (https://www.etsi.org/deliver/etsi_ts/119400_119499/119495/01.02.01_60/ts_119495v010201p.pdf).

 

Afin de consommer les API DSP2 proposées sur le portail du Groupe BPCE, vous aurez à nous transmettre vos certificats QWAC et QSEALC : 

  • de test pour le fonctionnement de l’assemblage en sandbox
  • de production lors du processus de demande de GO Live sur le portail 89C3 API

 

Seules les clés publiques (ou empreintes publiques) au format .pem sont nécessaires. Des contrôles sur les données des certificats seront effectués à partir des registres Français (REGAFI : https://www.regafi.fr) et Européen (ABE ou EBA : https://euclid.eba.europa.eu/register/pir/disclaimer).

Les utilisateurs peuvent également consulter l'assistant virtuel en cliquant sur le pictogramme Assistant virtuelsur la page d’accueil du portail.