Développeur 7 min de lecture

Certificats QWAC et eIDAS pour la Verification of Payee

La Verification of Payee fait circuler des réponses sensibles entre banques, son API repose donc sur une forte authentification mutuelle. Cette confiance s'appuie sur les certificats QWAC. Voici ce qu'ils sont et ce que leur exploitation implique.

Par Verification of Payee EU · propulsé par RoxPay

Certificats QWAC et eIDAS pour la Verification of Payee

À retenir

  • L'API VoP utilise le TLS mutuel, chaque côté s'authentifiant via un certificat QWAC (eIDAS).
  • C'est le même type de certificat PSD2 déjà utilisé dans l'open banking — émis par un prestataire de services de confiance qualifié.
  • Émission, renouvellement et vérification de révocation sont des tâches continues ; un prestataire peut porter la charge des certificats pour vous.

Une réponse de Verification of Payee révèle si un nom correspond à un compte — une information que seules les bonnes parties devraient échanger. L'API du schéma ne se fie donc pas aux seules clés d'API : elle utilise le TLS mutuel, où le côté demandeur comme le côté répondant présentent un certificat prouvant qu'ils sont un PSP réglementé. Ce type de certificat est le QWAC.

Ce qu'est un QWAC

  • QWAC signifie Qualified Website Authentication Certificate, défini par le règlement européen eIDAS.
  • C'est le même certificat PSD2 déjà utilisé dans l'open banking pour identifier les acteurs de paiement réglementés.
  • Il est émis par un prestataire de services de confiance qualifié (QTSP) et porte l'identité réglementaire du titulaire.

Ce qu'implique sa gestion

Un certificat ne se configure pas une fois pour toutes. Il a une période de validité, doit être renouvelé avant son expiration, et l'autre côté doit pouvoir vérifier qu'il n'a pas été révoqué — le tout sans rompre la disponibilité 24/7 exigée par le schéma.

  1. 1 Obtenez un QWAC auprès d'un prestataire de services de confiance qualifié.
  2. 2 Présentez-le à chaque connexion et validez en retour le certificat de la contrepartie.
  3. 3 Suivez l'expiration, effectuez la rotation à l'avance et vérifiez la révocation pour que la vérification ne s'interrompe jamais.

Les certificats échouent en silence

Un certificat expiré ou non renouvelé n'avertit pas vos utilisateurs — il se met simplement à rejeter les connexions. La rotation proactive maintient la VoP disponible.

RoxPay gère pour vous le modèle de confiance des certificats — émission, présentation, validation et renouvellement — vous obtenez ainsi une VoP conforme au rulebook et mutuellement authentifiée sans exploiter vous-même un cycle de vie de certificats eIDAS.

Tous les articles
FAQ

Questions fréquentes

Un Qualified Website Authentication Certificate sous eIDAS, utilisé pour le TLS mutuel afin que les PSP demandeur et répondant prouvent qu'ils sont des parties réglementées avant d'échanger une réponse VoP.

Oui — le modèle de confiance de la VoP réutilise le QWAC PSD2 déjà établi dans l'open banking, émis par un prestataire de services de confiance qualifié.

Les connexions commencent à échouer, ce qui peut interrompre la vérification. Les certificats doivent être renouvelés et tournés avant expiration, et la révocation doit être vérifiable, pour maintenir le service 24/7 disponible.

Continuer la lecture

Sécuriser l'API VoP Le modèle de sécurité plus large. L'API VoP, de bout en bout Comment circulent requête et réponse.

Évitez le cycle de vie des certificats

Parlez à RoxPay d'une VoP mutuellement authentifiée sans gérer de certificats eIDAS.

Parler à un expert Découvrir la VoP RoxPay