Menu
picture of tbs certificates
picture of tbs certificates
 
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Certificats DSP2/PSD2

DSP en français signifie Directive sur les Services de Paiement, en anglais Payment Service Directive, numéro 2015/2366.

Le PSD2 est une réglementation qui s’applique au monde bancaire, avec l’objectif d’en assurer la modernisation.

Les certificats sont délivrés à des PSP (Payment Service Provider) qui peuvent être des établissements de crédit, de paiement, des fintechs, etc. Un PSP doit être autorisé par une autorité bancaire nationale (NCA).

En matière de certificat électronique, la directive introduit 2 nouveaux types de certificats qui sont documentés dans la norme ETSI TS 119 495 qui dérivent des certificats qualifiés eIDAS :

  • un certificat QWAC (Qualified Website Authentication Certificate), qui est un certificat serveur TLS avec les EKU serveur et client, qui dérive également de la norme CA/B Forum Extended Validation et qui contient des champs spécifiques aux PSP

  • un certificat cachet (QSealC ou SealC) qui est un certificat cachet serveur contenant des champs spécifiques aux PSP

Toutes les banques (ASPSP) offrant un service en ligne doivent également offrir un accès API aux autres PSP (TPP). Cet accès fonctionne avec une couche TLS (pour assurer la confidentialité) qui repose sur une authentification mutuelle. Le client (l’initiateur de la connexion) doit présenter un certificat QWAC PSD2 pour s’identifier, le serveur peut utiliser un certificat QWAC PSD2 ou un autre certificat TLS. Ce QWAC peut utiliser une clef privée logicielle, il n’y pas d’obligation d’utiliser un matériel cryptographique qualifié.

D’autre part, une fois la communication établie, les informations échangées sont signées par le certificat cachet serveur cachet à fin de conservation et pour identifier les données transmises de bout en bout (il peut y avoir des agrégateurs ou des nœuds d’échange au niveau TLS). L’usage du certificat cachet n’est pas rendu obligatoire par PSD2, mais est recommandé pour ses bénéfices en termes de preuve. Les QSealC peuvent générer des signatures qualifiées si la clef privée est générée et exploitée au sein d’un matériel cryptographique qualifié QSCD ; autrement les signatures générées sont de type avancé et un certificat SealC suffit. Le PSD2 n’impose pas que les signatures soient qualifiées.

Ces 2 types de certificats doivent être émis par un QTSP (Qualified Trust Service Provider), c’est-à-dire une Autorité de Certification qualifiée eIDAS ayant été auditée pour la norme ETSI TS 119 495.

En outre, les acteurs doivent également implémenter des vérifications pour s’assurer que les certificats présentés sont conformes à la norme, contiennent les champs requis, émis par un QTSP et qu’ils ne sont pas révoqués.

Obtention des certificats de test

TBS délivre des certificats de tests, qui ont la structure des certificats PSD2 mais qui ne sont pas émis par une autorité officielle. Le processus de vérification administratif est également allégé et minimal.

Les CSR

Le CSR du certificat WAC doit être rempli comme pour un certificat EV. Le CSR du certificat cachet doit avoir un champ CN de la forme "contenu_du_champ_O - test PSD".

Il n'est pas nécessaire ni souhaitable de mettre le champ organizationIdentifier dans les CSRs. Voyez notre documentation pour générer un CSR sur votre plateforme.

Obtention des certificats officiels

TBS délivre des certificats PSD2 délivrés par une autorité qui a été audité en mai 2019 conforme à la norme ETSI TS 119 495 V1.2.1 (2018-11), cependant la liste de confiance Européenne n'est pas encore à jour. Le processus de vérification administratif nécessite que le responsable légal de l'organisation demandant le certificat dispose d’un certificat de signature électronique eIDAS qualifié pour pouvoir signer les documents contractuels (Vous pouvez en commander un ici : Certigna ID RGS** ou ChamberSign Eurodacio 2*).

Nous délivrons des certificats PSD2 pour tous les pays de l'Espace Économique Européen ayant un NCA participant. Votre organisation doit disposer d'un numéro d'autorisation délivré par votre NCA.