SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Certificats DSP2/PSD2

DSP en français signifie Directive sur les Services de Paiement, en anglais Payment Service Directive, numéro 2015/2366.

Le PSD2 est une réglementation qui s’applique au monde bancaire, avec l’objectif d’en assurer la modernisation.

Les certificats sont délivrés à des PSP (Payment Service Provider) qui peuvent être des établissements de crédit, de paiement, des fintechs, etc. Un PSP doit être autorisé par une autorité bancaire nationale (NCA).

En matière de certificat électronique, la directive introduit 2 nouveaux types de certificats qui sont documentés dans la norme ETSI TS 119 495 qui dérivent des certificats qualifiés eIDAS :

  • un certificat QWAC (Qualified Website Authentication Certificate), qui est un certificat serveur TLS avec les EKU serveur et client, qui dérive également de la norme CA/B Forum Extended Validation et qui contient des champs spécifiques aux PSP

  • un certificat cachet (QSealC ou SealC) qui est un certificat cachet serveur contenant des champs spécifiques aux PSP

Toutes les banques (ASPSP) offrant un service en ligne doivent également offrir un accès API aux autres PSP (TPP). Cet accès fonctionne avec une couche TLS (pour assurer la confidentialité) qui repose sur une authentification mutuelle. Le client (l’initiateur de la connexion) doit présenter un certificat QWAC PSD2 pour s’identifier, le serveur peut utiliser un certificat QWAC PSD2 ou un autre certificat TLS. Ce QWAC peut utiliser une clef privée logicielle, il n’y pas d’obligation d’utiliser un matériel cryptographique qualifié.

D’autre part, une fois la communication établie, les informations échangées sont signées par le certificat cachet serveur cachet à fin de conservation et pour identifier les données transmises de bout en bout (il peut y avoir des agrégateurs ou des nœuds d’échange au niveau TLS). L’usage du certificat cachet n’est pas rendu obligatoire par PSD2, mais est recommandé pour ses bénéfices en termes de preuve. Les QSealC peuvent générer des signatures qualifiées si la clef privée est générée et exploitée au sein d’un matériel cryptographique qualifié QSCD ; autrement les signatures générées sont de type avancé et un certificat SealC suffit. Le PSD2 n’impose pas que les signatures soient qualifiées.

Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire une Autorité de Certification qualifiée eIDAS ayant été auditée pour la norme ETSI TS 119 495.

En outre, les acteurs doivent également implémenter des vérifications pour s’assurer que les certificats présentés sont conformes à la norme, contiennent les champs requis, émis par un QTSP et qu’ils ne sont pas révoqués.

Obtention des certificats de test

TBS délivre des certificats de tests, qui ont la structure des certificats PSD2 mais qui ne sont pas émis par une autorité officielle. Le processus de vérification administratif est également allégé et minimal.

Les CSR

Le CSR du certificat WAC doit être rempli comme pour un certificat EV. Le CSR du certificat cachet doit avoir un champ CN de la forme "contenu_du_champ_O - test PSD".

Autres champs : Il ne faut pas rajouter les champs spécifiques au PSD2 dans le CSR.

Enfin, il n'est pas nécessaire ni souhaitable de mettre le champ organizationIdentifier dans les CSRs. Voyez notre documentation pour générer un CSR sur votre plateforme.

Les attributs PSD2

Le format du champ PSD2 a été normalisé par l'EBA :

  • France :
    • Autorité nationale compétente : Autorité de contrôle prudentiel et de résolution
    • Identifiant NCA : ACPR
    • Numéro d'autorisation PSP : CIB pour les demandeurs qui en ont, sinon numéro de SIREN
  • Royaume-Uni :
    • Autorité nationale compétente : Financial Conduct Authority
    • Identifiant NCA : FCA
    • Numéro d'autorisation PSP : numéro d'autorisation du FCA
  • Voir cette liste pour les autres pays

Obtention des certificats officiels

TBS délivre des certificats PSD2 délivrés par une autorité qui a été audité en mai 2019 conforme à la norme ETSI TS 119 495 V1.2.1 (2018-11). Le processus de vérification administratif nécessite que le responsable légal de l'organisation demandant le certificat dispose d’un certificat de signature électronique eIDAS qualifié pour pouvoir signer les documents contractuels (Vous pouvez en commander un ici : Certigna ID RGS** ou utiliser un service de signature eIDAS en ligne).

Les QWAC ont une étape de vérification technique par DCV qui nécessite l'ajout d'un champ TXT au DNS.

Nous délivrons des certificats PSD2 pour tous les 31 pays de l'Espace Économique Européen ayant un NCA participant. Votre organisation doit disposer d'un numéro d'autorisation délivré par votre NCA.

Le délai de livraison est de 5 jours ouvrés (une fois votre dossier signé reçu).

Hiérarchie des certificats