Entwickler 7 Min. Lesezeit

QWAC- & eIDAS-Zertifikate für die Verification of Payee

Die Verification of Payee bewegt sensible Antworten zwischen Banken, daher beruht ihre API auf starker gegenseitiger Authentifizierung. Dieses Vertrauen stützt sich auf QWAC-Zertifikate. Hier erfahren Sie, was sie sind und was ihr Betrieb bedeutet.

Von Verification of Payee EU · unterstützt von RoxPay

QWAC- & eIDAS-Zertifikate für die Verification of Payee

Das Wichtigste

  • Die VoP-API nutzt gegenseitiges TLS, wobei sich jede Seite über ein QWAC-Zertifikat (eIDAS) authentifiziert.
  • Es ist derselbe PSD2-Zertifikatstyp, der bereits im Open Banking genutzt wird — ausgestellt von einem qualifizierten Vertrauensdiensteanbieter.
  • Ausstellung, Erneuerung und Sperrprüfung sind laufende Aufgaben; ein Anbieter kann die Zertifikatslast für Sie tragen.

Eine Verification-of-Payee-Antwort offenbart, ob ein Name zu einem Konto passt — Information, die nur die richtigen Parteien austauschen sollten. Daher verlässt sich die API des Schemas nicht allein auf API-Schlüssel: Sie nutzt gegenseitiges TLS, bei dem sowohl die anfragende als auch die antwortende Seite ein Zertifikat vorlegen, das sie als regulierten PSP ausweist. Der Zertifikatstyp ist das QWAC.

Was ein QWAC ist

  • QWAC steht für Qualified Website Authentication Certificate, definiert in der EU-eIDAS-Verordnung.
  • Es ist dasselbe PSD2-Zertifikat, das im Open Banking bereits zur Identifikation regulierter Zahlungsakteure dient.
  • Es wird von einem qualifizierten Vertrauensdiensteanbieter (QTSP) ausgestellt und trägt die regulatorische Identität des Inhabers.

Was die Verwaltung bedeutet

Ein Zertifikat ist nicht einmalig einzurichten. Es hat eine Gültigkeitsdauer, muss vor Ablauf erneuert werden, und die Gegenseite muss prüfen können, dass es nicht widerrufen wurde — alles ohne die vom Schema geforderte 24/7-Verfügbarkeit zu brechen.

  1. 1 Beschaffen Sie ein QWAC bei einem qualifizierten Vertrauensdiensteanbieter.
  2. 2 Legen Sie es bei jeder Verbindung vor und validieren Sie im Gegenzug das Zertifikat der Gegenpartei.
  3. 3 Verfolgen Sie den Ablauf, rotieren Sie frühzeitig und prüfen Sie die Sperrung, damit die Verifikation nie stockt.

Zertifikate scheitern leise

Ein abgelaufenes oder nicht erneuertes Zertifikat warnt Ihre Nutzer nicht — es beginnt einfach, Verbindungen abzulehnen. Proaktive Rotation hält VoP verfügbar.

RoxPay verwaltet das Zertifikats-Vertrauensmodell für Sie — Ausstellung, Vorlage, Validierung und Erneuerung — sodass Sie regelkonforme, gegenseitig authentifizierte VoP erhalten, ohne selbst einen eIDAS-Zertifikatslebenszyklus zu betreiben.

Alle Artikel
FAQ

Häufige Fragen

Ein Qualified Website Authentication Certificate unter eIDAS, genutzt für gegenseitiges TLS, damit der anfragende und der antwortende PSP nachweisen, dass sie regulierte Parteien sind, bevor sie eine VoP-Antwort austauschen.

Ja — das Vertrauensmodell der VoP nutzt das bereits im Open Banking etablierte PSD2-QWAC wieder, ausgestellt von einem qualifizierten Vertrauensdiensteanbieter.

Verbindungen beginnen zu scheitern, was die Verifikation stoppen kann. Zertifikate müssen vor Ablauf erneuert und rotiert werden, und die Sperrung muss prüfbar sein, um den 24/7-Dienst verfügbar zu halten.

Weiterlesen

Die VoP-API absichern Das umfassendere Sicherheitsmodell. Die VoP-API, Ende zu Ende Wie Anfrage und Antwort fließen.

Sparen Sie sich den Zertifikatslebenszyklus

Sprechen Sie mit RoxPay über gegenseitig authentifizierte VoP ohne eIDAS-Zertifikatsverwaltung.

Mit einem Experten sprechen RoxPay VoP entdecken