Ontwikkelaar 7 min leestijd

QWAC- & eIDAS-certificaten voor Verification of Payee

Verification of Payee verplaatst gevoelige antwoorden tussen banken, dus de API berust op sterke wederzijdse authenticatie. Dat vertrouwen rust op QWAC-certificaten. Hier lees je wat ze zijn en wat het beheren ervan inhoudt.

Door Verification of Payee EU · mogelijk gemaakt door RoxPay

QWAC- & eIDAS-certificaten voor Verification of Payee

Kernpunten

  • De VoP-API gebruikt wederzijdse TLS, waarbij elke kant zich authenticeert via een QWAC-certificaat (eIDAS).
  • Het is hetzelfde PSD2-certificaattype dat al in open banking wordt gebruikt — uitgegeven door een gekwalificeerde vertrouwensdienstverlener.
  • Uitgifte, vernieuwing en intrekkingscontrole zijn doorlopende taken; een aanbieder kan de certificaatlast voor je dragen.

Een Verification of Payee-antwoord onthult of een naam bij een rekening hoort — informatie die alleen de juiste partijen zouden moeten uitwisselen. Daarom vertrouwt de API van het schema niet alleen op API-sleutels: het gebruikt wederzijdse TLS, waarbij zowel de aanvragende als de antwoordende kant een certificaat tonen dat bewijst dat ze een gereguleerde PSP zijn. Het certificaattype is het QWAC.

Wat een QWAC is

  • QWAC staat voor Qualified Website Authentication Certificate, gedefinieerd onder de EU-eIDAS-verordening.
  • Het is hetzelfde PSD2-certificaat dat al in open banking wordt gebruikt om gereguleerde betaalspelers te identificeren.
  • Het wordt uitgegeven door een gekwalificeerde vertrouwensdienstverlener (QTSP) en draagt de regelgevende identiteit van de houder.

Wat het beheren inhoudt

Een certificaat is niet instellen-en-vergeten. Het heeft een geldigheidsperiode, moet vóór verloop worden vernieuwd, en de andere kant moet kunnen controleren dat het niet is ingetrokken — allemaal zonder de 24/7-beschikbaarheid te breken die het schema vereist.

  1. 1 Verkrijg een QWAC bij een gekwalificeerde vertrouwensdienstverlener.
  2. 2 Toon het bij elke verbinding en valideer in ruil het certificaat van de tegenpartij.
  3. 3 Volg het verloop, roteer op tijd en controleer intrekking zodat verificatie nooit vastloopt.

Certificaten falen in stilte

Een verlopen of niet-vernieuwd certificaat waarschuwt je gebruikers niet — het begint gewoon verbindingen te weigeren. Proactieve rotatie houdt VoP beschikbaar.

RoxPay beheert het certificaat-vertrouwensmodel voor je — uitgifte, presentatie, validatie en vernieuwing — zodat je rulebook-conforme, wederzijds geauthenticeerde VoP krijgt zonder zelf een eIDAS-certificaatlevenscyclus te draaien.

Alle artikelen
FAQ

Veelgestelde vragen

Een Qualified Website Authentication Certificate onder eIDAS, gebruikt voor wederzijdse TLS zodat de aanvragende en antwoordende PSP bewijzen dat ze gereguleerde partijen zijn voordat ze een VoP-antwoord uitwisselen.

Ja — het vertrouwensmodel van VoP hergebruikt het in open banking al gevestigde PSD2-QWAC, uitgegeven door een gekwalificeerde vertrouwensdienstverlener.

Verbindingen beginnen te falen, wat verificatie kan stilleggen. Certificaten moeten vóór verloop worden vernieuwd en geroteerd, en intrekking moet controleerbaar zijn, om de 24/7-dienst beschikbaar te houden.

Verder lezen

De VoP-API beveiligen Het bredere beveiligingsmodel. De VoP-API, end-to-end Hoe verzoek en antwoord stromen.

Sla de certificaatlevenscyclus over

Praat met RoxPay over wederzijds geauthenticeerde VoP zonder eIDAS-certificaten te beheren.

Praat met een expert Ontdek RoxPay VoP