- Du côté du « demandeur », un participant doit savoir quel est l’adresse URL du participant destinataire.
- Du côté du « destinataire », un participant doit avoir la certitude que le demandeur (appelant de l’API, participant d’origine) est digne de confiance.
Par conséquent, le rôle d’OSM 1 est d’exploiter un service d’annuaire pour le scheme EPC et de mettre davantage de données à la disposition des participants :
les URL des API des participants au système, les informations relatives à l’identification et à l’authentification, mais aussi des informations sur la fonction qu’un participant remplit ou sur la ou les fonctionnalités qu’il offre, dans le cadre d’un scheme spécifique.
Actuellement, l’EPC ne gère pas les données et les mécanismes garantissant la joignabilité des participants entre eux, c’est-à-dire la manière dont les participants doivent se découvrir et se connecter les uns aux autres afin d’envoyer et de recevoir des paiements ou des transactions liées à des paiements. La responsabilité de cette fonction d’acheminement est laissée à des entités opérationnelles telles que les mécanismes de compensation et de règlement (pour les schemes de paiement) ou d’autres entités spécialisées (SPL, SRTP, etc.).
Les exigences relatives à l’OSM stipulent que les données doivent être lisibles par machine (c’est-à-dire dans un format électronique structuré) et disponibles sous la forme d’un seul fichier de données complet comprenant les données de tous les participants et les modifications apportées depuis la dernière mise à jour, ou par le biais d’appels API (limités aux participants et à leurs fournisseurs de solutions techniques) permettant de consulter les données individuelles des participants et les valeurs de recherche fournies dans la demande d’API.
Pour des raisons de sécurité, il est recommandé d’authentifier les demandeurs de données à l’aide de certificats TLS/SSL du client (les certificats des API PSD2 sont compatibles).
Si les données doivent être mises à disposition sous la forme d’un fichier, accessible au public pour téléchargement (sans nécessité d’authentification par l’entité requérante), ce fichier doit être signé par l’OSM avec une signature électronique d’au moins niveau AdES (Advanced Electronic Signatures). Toutefois, il n’est pas nécessaire que l’OSM soit lié aux autorités de certification (AC) ou aux fournisseurs de services de confiance qualifiés (QTSP) des participants pour les échanges automatiques de données de certificats.
La mise à jour des données peut être effectuée par les participants, après authentification, via l’interface graphique ou les appels API, et doit être rapide (c’est-à-dire intraday), par exemple en cas de suppression/mise à jour immédiate d’un participant à sa demande, à la suite d’une révocation de certificat ou d’un autre problème de sécurité susceptible d’entraîner une révocation de certificat.
Données obligatoires
- Données d’identification et d’adhésion provenant du registre des participants à l’EPC
- nom légal
- adresse
- identifiant de chaque scheme
- date d’adhésion
- Données techniques et complémentaires des participants
- API endpoints (URL)
- API documentation endpoints (URL)
- UID du certificat et nom de l’autorité qui a délivré le certificat
- Caractéristique(s) optionnelle(s) soutenue(s) par les participants
- Coordonnées pour communiquer sur la mise à jour exceptionnelle intraday
Données facultatives
- Nom commercial
- Indicateur du type du API endpoint (direct route or proxy)
- Indicateur du propriétaire de la signature API (participant au scheme ou proxy), etc.
Les identifiants uniques des participants sont les valeurs « clés » qui permettent d’obtenir d’autres informations sur les participants/proxy (par exemple, via l’API) et à des fins d’authentification.
TRAVIC-Payment-Client-API peut aider un OSM ou un PSP (ASPSP ou Asset Broker) à connecter des fournisseurs tiers (TPP). Cette API est une bibliothèque Java qui permet à un appelant de communiquer avec une interface de paiement d’une institution financière en fournissant des fonctions telles que le service d’informations de compte (AIS), de soldes, de données de transaction et l’initiation d’un paiement (PIS) à des banques tierces.
Auteur: Zaher Mahfouz
Source: EPC, TRAVIC-Payment-API
1 Operational Scheme Management
