Mesures d'urgence

Principe

Conformément à la réglementation, les établissements du Groupe BPCE ont mis en place une interface dédiée aux prestataires de services de paiement : il s’agit des API REST DSP2 publiées.

Si les API DSP2 exposées sont défaillantes, le prestataire des services de paiements pourra utiliser la solution couvrant les "mesures d'urgence applicables à une interface dédiée" (ou « fallback ») dont le principe est le suivant :

 

Principe fallback TTS

 

Historique des versions

Cette solution répond aux exigences règlementaires de la DSP2 (article 33 des RTS). Elle tient compte des limitations fonctionnelles décrites plus loin pour ce cas d'usage.

Pour rappel : 

En France, l’ordonnance n° 2017-1252 du 9 août 2017 transpose la directive DSP2 dans la partie législative du code monétaire et financier. L’ordonnance est complétée au plan réglementaire par les décrets n° 2017-1313 et n° 2017-1314 du 31 août 2017 et les cinq arrêtés du 31 août 2017.

Vous pouvez aussi consulter l'assistant virtuel au sujet de ces textes.

 

Roadmap

Cette solution fait l'objet d'améliorations et d'évolutions continues. Retrouvez ci-dessous les éléments de notre trajectoire prévisionnelle :

Version

Fonctionnalités

Sandbox

Date de déploiement

89C3 API Dev Portal & Sandbox

Live

Date de déploiement

89C3 Live API Gateway

v1.0

     Fallback (*)

Non applicable 30 septembre 2019

(*) Fonctionnalités Principales :

  • Utilisation par le TPP du même endpoint que l’interface dédiée. Un paramètre de requête ajouté par le TPP permet de distinguer une requête « Fallback » d'une requête API qui doit être utilisée systématiquement ; 
  • Authentification du TPP via authentification mutuelle TLS par un certificat eIDAS (QWAC) ;
  • Sécurisation identique à celle d'un accès à la banque en ligne du PSU (même interface utilisée par le PSU qu’en accès direct, et mêmes moyens d’authentification du client) ;
  • Dans le cadre de la montée en charge de l’usage de l’interface dédiée (API) il n'est pas mis en place de bascule dynamique : la solution fallback est toujours active.
  • La solution de fallback est une solution de secours ne devant pas être utilisée en principal accès. L’usage en est monitoré et tout usage abusif sera reporté auprès de l’autorité nationale compétente.

 

Exemple

 Dans le cas où les API DPS2 sont indisponible de façon imprévue ou le système tomberait en panne (voir critères dans le texte RTS Art. 33), le TPP peut alors envoyer la requête :

       POST https://www.<codetab>.live.api.89c3.com/stet/psd2/oauth/token

avec :

  • son certificat eIDAS QWAC de production
  • le paramètre header (fallback:"1")  

 

Limitations fonctionnelles

Les limitations de cette solution en V1.0 sont les suivantes :

  • Pas de réutilisation du contexte de l’interface dédiée, ni du jeton d’accès valable 90 jours (AISP) ;
  • Seules les fonctionnalités DSP2 présentes sur la banque en ligne seront accessibles via le fallback. Par exemple, les services de banque en ligne ne proposent pas de paiement e-commerce. Cette fonctionnalité PISP n’est donc pas disponible en mode fallback.
  • Le client utilisateur des services (PSU) doit être connecté (pas de possibilité de traitement batch AISP pour venir récupérer les données consenties du client). La DSP2 imposant également un renforcement des moyens d’authentification forte (AF/SCA) systématique (sauf exemption) pour les accès à la banque, les moyens d’authentification fournis aux clients PSU seront utilisés.