Desarrollador 7 min de lectura

Certificados QWAC y eIDAS para la Verification of Payee

La Verification of Payee mueve respuestas sensibles entre bancos, así que su API se basa en una fuerte autenticación mutua. Esa confianza descansa en los certificados QWAC. Esto es lo que son y lo que implica operarlos.

Por Verification of Payee EU · con tecnología de RoxPay

Certificados QWAC y eIDAS para la Verification of Payee

Claves

  • La API VoP usa TLS mutuo, autenticándose cada lado mediante un certificado QWAC (eIDAS).
  • Es el mismo tipo de certificado PSD2 ya usado en open banking — emitido por un prestador cualificado de servicios de confianza.
  • Emisión, renovación y comprobación de revocación son tareas continuas; un proveedor puede llevar la carga de los certificados por ti.

Una respuesta de Verification of Payee revela si un nombre coincide con una cuenta — información que solo las partes adecuadas deberían intercambiar. Por eso la API del esquema no se fía solo de claves de API: usa TLS mutuo, donde tanto el lado solicitante como el respondiente presentan un certificado que prueba que son un PSP regulado. El tipo de certificado es el QWAC.

Qué es un QWAC

  • QWAC significa Qualified Website Authentication Certificate, definido por el reglamento europeo eIDAS.
  • Es el mismo certificado PSD2 ya usado en open banking para identificar a los actores de pago regulados.
  • Lo emite un prestador cualificado de servicios de confianza (QTSP) y porta la identidad regulatoria del titular.

Qué implica gestionarlo

Un certificado no es de configurar y olvidar. Tiene un periodo de validez, debe renovarse antes de caducar, y el otro lado debe poder comprobar que no ha sido revocado — todo sin romper la disponibilidad 24/7 que exige el esquema.

  1. 1 Obtén un QWAC de un prestador cualificado de servicios de confianza.
  2. 2 Preséntalo en cada conexión y valida a cambio el certificado de la contraparte.
  3. 3 Controla la caducidad, rota con antelación y comprueba la revocación para que la verificación nunca se detenga.

Los certificados fallan en silencio

Un certificado caducado o no renovado no avisa a tus usuarios — simplemente empieza a rechazar conexiones. La rotación proactiva es lo que mantiene la VoP disponible.

RoxPay gestiona por ti el modelo de confianza de los certificados — emisión, presentación, validación y renovación — así obtienes una VoP conforme al rulebook y mutuamente autenticada sin operar tú mismo un ciclo de vida de certificados eIDAS.

Todos los artículos
FAQ

Preguntas frecuentes

Un Qualified Website Authentication Certificate bajo eIDAS, usado para TLS mutuo para que los PSP solicitante y respondiente prueben que son partes reguladas antes de intercambiar una respuesta VoP.

Sí — el modelo de confianza de la VoP reutiliza el QWAC PSD2 ya establecido en open banking, emitido por un prestador cualificado de servicios de confianza.

Las conexiones empiezan a fallar, lo que puede detener la verificación. Los certificados deben renovarse y rotarse antes de caducar, y la revocación debe ser comprobable, para mantener el servicio 24/7 disponible.

Seguir leyendo

Asegurar la API VoP El modelo de seguridad más amplio. La API VoP, de extremo a extremo Cómo fluyen solicitud y respuesta.

Olvídate del ciclo de vida de certificados

Habla con RoxPay sobre una VoP mutuamente autenticada sin gestionar certificados eIDAS.

Habla con un experto Explora la VoP RoxPay