Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
EU Directive Active

Payment Services Directive 2

The EU directive opening banking APIs to third-party providers while mandating Qualified Website Authentication Certificates (QWACs) and Qualified Seals for secure open banking communications.

Faits rapides

Statut
In Force (PSD3 upcoming)
Type
Directive UE
Portée
Payment Services
En vigueur
2018
Key requirement
QWACs for TPPs

Vue d'ensemble

PSD2 (Directive 2015/2366) a révolutionné les paiements européens en obligeant les banques à ouvrir leurs API aux fournisseurs tiers agréés (TPP). Cette directive a créé l'écosystème de l'open banking, permettant les services d'information de compte, les services d'initiation de paiement et les instruments de paiement basés sur carte provenant de tiers.

Le Normes Techniques Réglementaires (RTS) sur l’authentification forte du client imposent l’utilisation de QWACs selon eIDAS pour l’identification des TPP. L’article 34 des RTS exige que chaque appel d’API entre les banques et les TPP soit authentifié à l’aide de certificats qualifiés — créant une demande massive de PKI dans le secteur financier européen.

Avec des milliers de TPP opérant à travers l'UE, chacune nécessitant des QWAC et des certificats de sceau électronique qualifiés (QSealC), la PSD2 est devenue l'un des principaux moteurs de l'émission de certificats qualifiés et de la gestion du cycle de vie sur le marché européen. Les futures PSD3 et PSR devraient s'appuyer sur ces bases.

Clé Exigences

QWAC pour l'identification des TPP (RTS art. 34)

Les fournisseurs tiers doivent utiliser des certificats d'authentification de site Web qualifiés pour s'identifier lors de l'accès aux API bancaires, garantissant des communications bancaires ouvertes fiables et authentifiées.

Scellés électroniques qualifiés (QSealC)

Les prestataires de services de paiement doivent utiliser des certificats de scellé électronique qualifié pour signer les messages API, garantissant l'origine et l'intégrité des données échangées entre les institutions financières.

Authentification forte du client (SCA)

Les transactions de paiement nécessitent une authentification multifacteur utilisant au moins deux des trois éléments : connaissance, possession et inhérence — reposant sur une infrastructure sécurisée basée sur des certificats.

Canaux de communication sécurisés

Toutes les communications entre les banques et les fournisseurs tiers doivent utiliser des canaux sécurisés et chiffrés avec authentification mutuelle afin de protéger les données de paiement en transit.

Enregistrement TPP & Certificats

Les fournisseurs tiers doivent s’enregistrer auprès des autorités nationales et obtenir des certificats qualifiés contenant leur numéro d’autorisation, leurs rôles et les détails de l’ANC pour l’accès à l’API.

Révocation de certificat & Validation en temps réel

Les banques doivent valider les certificats TPP en temps réel pour chaque appel d’API, en vérifiant le statut de révocation via OCSP ou CRL afin de garantir que seuls les fournisseurs autorisés accèdent aux données de compte.

Clé Jalons

15
2015

Adopté

La directive révisée sur les services de paiement (PSD2) a été adoptée en novembre 2015, imposant des API bancaires ouvertes et une authentification forte des clients.

18
2018

Transposition

Les États membres transposent la PSD2 en droit national d'ici janvier 2018. Les banques doivent commencer à préparer les API pour l'accès des fournisseurs tiers.

19
2019

RTS sur l'AAC appliquée

Les Normes Techniques Réglementaires sur l'Authentification Forte du Client entrent en vigueur en septembre 2019, imposant les QWAC pour l'identification des TPP.

23
2023

PSD3 proposé

La Commission européenne propose la PSD3 et le Règlement sur les Services de Paiement (PSR) en juin 2023 afin d'harmoniser davantage et de renforcer les règles des services de paiement.

25
2025 Actuel

Adoption de PSD3/PSR attendue

La nouvelle directive PSD3 et le règlement PSR devraient être finalisés, s’appuyant sur les bases de la PSD2 avec des protections renforcées des paiements numériques.

Impact sur PKI & Certificates

La PSD2 a créé l’un des environnements réglementaires les plus intensifs en certificats de l’UE. Voici les implications critiques de la PKI :

1

Émission massive de QWAC à grande échelle

Avec des milliers de TPP dans l’UE nécessitant chacun des QWAC, la PSD2 engendre une émission de certificats qualifiés à grande échelle — exigeant une infrastructure robuste de la part des fournisseurs de services de confiance.

2

QSealC pour la signature de messages API

Chaque message API échangé entre les banques et les TPP doit être signé avec des certificats de sceau électronique qualifié, garantissant l'intégrité des données et la non-répudiation des transactions de paiement.

3

Validation de certificat en temps réel

Les banques doivent valider les certificats des TPP en temps réel pour chaque appel API via OCSP ou CRL, nécessitant une infrastructure de validation haute disponibilité capable de gérer des millions de vérifications quotidiennes.

4

Rotation de certificats à grande échelle

La gestion des renouvellements et rotations de certificats à travers des milliers de relations TPP nécessite une gestion automatisée du cycle de vie afin de prévenir les échecs d'authentification API et les interruptions de service.

Comment nous aidons

Evertrust & PSD2

Émission de QWAC et QSealC — Stream fournit l'infrastructure PKI souveraine pour émettre des QWAC et QSealC en tant qu'outil de prestataire de services de confiance qualifié, avec une protection des clés basée sur HSM et une sécurité certifiée par l'ANSSI.

Gestion du cycle de vie à l'échelle bancaire — Horizon gère le cycle de vie de milliers de certificats bancaires, offrant une vue centralisée de tous les QWAC et QSealC au sein de votre écosystème TPP.

Le renouvellement automatisé empêche les pannes d'API — Le renouvellement et la rotation automatisés des certificats préviennent les échecs d'authentification d'API qui pourraient perturber les services de paiement et affecter l'expérience client.

OCSP/CRL pour la validation en temps réel — Stream fournit des services OCSP et CRL à haute disponibilité pour la validation en temps réel des certificats, supportant les millions d'appels API quotidiens dans l'écosystème PSD2.

Parler à un expert Découvrir Stream
Retour au Centre de conformité Obtenez des conseils d'expert