Una risposta di Verification of Payee rivela se un nome corrisponde a un conto — informazione che solo le parti giuste dovrebbero scambiarsi. Perciò l'API dello schema non si affida solo alle chiavi API: usa il mutual TLS, dove sia il lato richiedente sia quello rispondente presentano un certificato che prova di essere un PSP regolamentato. Il tipo di certificato è il QWAC.
Cos'è un QWAC
- QWAC sta per Qualified Website Authentication Certificate, definito dal regolamento UE eIDAS.
- È lo stesso certificato PSD2 già usato nell'open banking per identificare gli operatori di pagamento regolamentati.
- È emesso da un prestatore di servizi fiduciari qualificato (QTSP) e porta l'identità regolamentare del titolare.
Cosa comporta gestirlo
Un certificato non è da configurare e dimenticare. Ha un periodo di validità, va rinnovato prima della scadenza, e l'altro lato deve poter verificare che non sia stato revocato — tutto senza rompere la disponibilità 24/7 richiesta dallo schema.
- 1 Ottieni un QWAC da un prestatore di servizi fiduciari qualificato.
- 2 Presentalo a ogni connessione e valida in cambio il certificato della controparte.
- 3 Monitora la scadenza, ruota in anticipo e controlla la revoca così la verifica non si blocca mai.
I certificati falliscono in silenzio
Un certificato scaduto o non rinnovato non avvisa i tuoi utenti — semplicemente inizia a rifiutare le connessioni. La rotazione proattiva è ciò che mantiene la VoP disponibile.
RoxPay gestisce per te il modello di fiducia dei certificati — emissione, presentazione, validazione e rinnovo — così ottieni una VoP conforme al rulebook e mutuamente autenticata senza operare tu stesso un ciclo di vita di certificati eIDAS.