25 nov. 2024

Guide d'intégration du certificat d'authentification de site web qualifié (QWAC) de la PSD2

Introduction

La directive révisée sur les services de paiement (DSP2) s'applique à tous les États membres de l'Union européenne (UE) et impose aux institutions financières d'ouvrir l'accès aux informations relatives à leurs clients et à leurs réseaux de paiement aux prestataires de services de paiement (PSP) et à d'autres prestataires tiers (TPP). L'objectif de la directive est de supprimer le monopole des institutions financières sur les données de leurs utilisateurs, d'accroître la concurrence et d'encourager de nouvelles solutions financières innovantes, tout en établissant des normes pour garantir l'interopérabilité et la sécurité des données des utilisateurs.  

Les organisations qui doivent se conformer à la DSP2 peuvent souhaiter acheter un certificat d'authentification de site web qualifié (QWAC), qui est un type de certificat numérique qualifié dans le cadre des services de confiance définis dans le règlement eIDAS. Dans le règlement eIDAS, les services de confiance sont définis comme des services électroniques, normalement fournis par des prestataires de services de confiance (TSP, dont GlobalSign fait partie), qui consistent en des signatures électroniques, des sceaux électroniques, des horodatages électroniques, des services d'envoi recommandé électronique et l'authentification de sites Web. En ce qui concerne l'authentification de sites web, les certificats d'assurance qualité sont délivrés pour garantir l'authentification entre un site web et une personne physique ou morale, offrant ainsi aux visiteurs du site web la preuve que toute transaction effectuée sur le site est protégée et qu'il existe une entité légitime derrière le site web. 

Comment commander un QWAC PSD2 

La commande d'un QWAC PSD2 est similaire à la commande d'un certificat ExtendedSSL via le processus de commande au détail du GlobalSign Certificate Center (GCC), mais avec quelques changements dans le flux de commande: 

1. Dans la section Produits en haut de la demande de certificat, sélectionnez ExtendedSSL. 
    

   
   Période de validité du CAQT  
   Nous exigeons que les CAQT aient une validité d'un an. Veuillez donc sélectionner 1 an dans la section Période de validité.  

2. Vers le milieu de la page, vous verrez "Request a Qualified Website Authentication Certificate (QWAC)" (Demander un certificat d'authentification de site web qualifié), suivez les étapes suivantes : 

a. Sélectionnez la case d'option Oui.

b. Sélectionnez Je veux un PSD2 QWAC.

c. Sélectionnez votre Autorité nationale compétente (ANC). Votre ACN est l'entité qui vous a fourni votre numéro de prestataire de services de paiement. 

d. Saisissez votre identifiant PSP fourni par votre ANC.  

e. Saisissez votre rôle de PSP. Vous pouvez en sélectionner plusieurs.  
   

Lorsque vous avez terminé de passer votre commande, veillez à enregistrer les informations figurant sur l'écran de confirmation afin de pouvoir vous y référer ultérieurement, et à suivre les étapes de récupération de votre certificat une fois que vous avez effectué toutes les tâches de vérification des antécédents. 

Processus d'évaluation des QWAC de la PSD2 

Le rôle de GlobalSign en tant que TSP nous impose de nous conformer au règlement eIDAS et PSD2, et de valider l'entité derrière le certificat dans le cadre d'un processus spécifique et standardisé. Une fois que vous aurez soumis votre commande de certificat, vous recevrez un e-mail du service de vérification de GlobalSign avec des informations sur les autres documents que vous devez soumettre pour que nous puissions traiter votre commande. 

Validation du contrôle de domaine 

Nous validons la propriété ou le contrôle du domaine par l'organisation. Pour ce faire, nous vous communiquons une valeur aléatoire à installer sur des sites spécifiques, ou nous procédons à une vérification des réponses à des adresses électroniques approuvées au préalable. 

Validation du représentant autorisé 

Dans le cadre de la procédure de contrôle, nous sommes tenus de procéder à une vérification en personne de votre représentant autorisé. Cette vérification est généralement effectuée par untiers conformément à la législation nationale.    Pour cette étape, nous aurons besoin des éléments suivants:
Déclaration personnelle signée	Photo d'identité	Copie de la documentation secondaire	Notarisation de la demande
Une déclaration personnelle signée par le représentant autorisé. Elle comprendra certaines attestations, notamment que les informations contenues dans la demande d'adhésion et la demande de certificat sont véridiques et correctes, et l'acceptation de nos conditions générales. Nous enverrons le formulaire à votre représentant autorisé pour qu'il le signe.	Le représentant autorisé devra présenter une pièce d'identité avec photo délivrée par le gouvernement au tiers qui effectue la validation en personne. Nous fournissons une liste des documents acceptables.	Nous n'avons pas besoin d'une copie de la carte d'identité avec photo délivrée par le gouvernement de votre représentant autorisé pour nos dossiers. En revanche, nous demandons des copies de deux documents secondaires. Nous fournissons une liste des documents acceptables.	Le tiers notera votre demande. Nous vous fournirons de plus amples informations sur les personnes habilitées à procéder à cette authentification dans votre juridiction. Nous vous enverrons le formulaire que le tiers doit utiliser pour cette authentification.

Validation de l'organisation

Ne vous inquiétez pas, nous nous chargeons de cette partie de la validation. Nous validerons les informations fournies dans la demande de certificat. Nous confirmons la plupart de ces éléments dans nos sources indépendantes. Nous pouvons vous contacter si vous avez besoin de plus d'informations.
Identité de l'organisation	Adresse de l'organisation	Le pouvoir de représenter l'Organisation	Autorisation de l'organisation à émettre
Il s'agit du nom légal complet de l'organisation et de l'identifiant de l'organisation.   Elle comprend également la capacité de l'organisation à faire des affaires, ce qui est implicite si l'organisation existe depuis plus de trois ans.	Nous vérifions l'adresse physique de votre organisation.   Il ne peut s'agir d'une boîte postale ou d'une adresse "aux soins de".	Nous vérifions que le représentant autorisé est habilité à représenter l'organisation.	Nous vérifions auprès du représentant autorisé qu'il approuve l'émission du certificat.

Validation des attributs de la DSP2

Cette section concerne les certificats PSD2. Il s'agit d'un type de certificat spécial, exigé par la directive sur les services de paiement, pour les prestataires de services de paiement qui fournissent des services en ligne au sein de l'Union européenne.    Nous nous chargeons de cette partie de la validation, mais il se peut que nous ayons besoin de quelques informations supplémentaires.
Informations sur les ANC	Type de prestataire de paiement	Numéro du prestataire de services de paiement
Une autorité nationale compétente en Europe ayant l'autorité désignée   pour enregistrer et autoriser les prestataires de services de paiement.	Il n'existe qu'un nombre limité de types de prestataires de services de paiement :  • les services d'initiation de paiement (SIP), qui permettent d'initier des virements en ligne  • Les services d'information sur les comptes (Account Information Services - AIS), qui fournissent en ligne des informations consolidées sur les comptes.  • Les services d'émission d'instruments de paiement par carte (CBPII) pour l'émission d'instruments et l'acquisition de transactions en ligne.	Un numéro d'enregistrement ou d'autorisation qui   a été attribué au prestataire de services de paiement par l'autorité nationale compétente auprès de laquelle le prestataire de services de paiement est enregistré ou autorisé.