Uma resposta de Verification of Payee revela se um nome corresponde a uma conta — informação que só as partes certas deveriam trocar. Por isso a API do esquema não se fia apenas em chaves de API: usa TLS mútuo, em que tanto o lado requerente como o respondente apresentam um certificado que prova serem um PSP regulado. O tipo de certificado é o QWAC.
O que é um QWAC
- QWAC significa Qualified Website Authentication Certificate, definido pelo regulamento europeu eIDAS.
- É o mesmo certificado PSD2 já usado no open banking para identificar os intervenientes de pagamento regulados.
- É emitido por um prestador qualificado de serviços de confiança (QTSP) e transporta a identidade regulatória do titular.
O que envolve geri-lo
Um certificado não é configurar e esquecer. Tem um período de validade, deve ser renovado antes de expirar, e o outro lado tem de poder verificar que não foi revogado — tudo sem quebrar a disponibilidade 24/7 que o esquema exige.
- 1 Obtenha um QWAC junto de um prestador qualificado de serviços de confiança.
- 2 Apresente-o em cada ligação e valide em troca o certificado da contraparte.
- 3 Acompanhe a expiração, rode com antecedência e verifique a revogação para que a verificação nunca pare.
Os certificados falham em silêncio
Um certificado expirado ou não renovado não avisa os seus utilizadores — simplesmente começa a recusar ligações. A rotação proativa é o que mantém a VoP disponível.
A RoxPay gere por si o modelo de confiança dos certificados — emissão, apresentação, validação e renovação — para que tenha uma VoP conforme ao rulebook e mutuamente autenticada sem operar você mesmo um ciclo de vida de certificados eIDAS.