Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Directive européenne En vigueur

PSD2 Directive

La directive européenne ouvrant les API bancaires aux prestataires tiers tout en imposant les certificats QWAC et les cachets qualifiés pour sécuriser les communications de l'open banking.

En bref

Statut
En vigueur
Type
Directive européenne
Portée
Services de paiement

Vue d'ensemble

La PSD2 (directive 2015/2366) a révolutionné les paiements européens en imposant aux banques d'ouvrir leurs API aux prestataires tiers (TPP) agréés. Cette directive a fait naître l'écosystème de l'open banking, permettant à des tiers de proposer des services d'information sur les comptes, d'initiation de paiement et d'instruments de paiement par carte.

Les standards techniques de réglementation (RTS) relatifs à l'authentification forte du client imposent l'utilisation de QWAC selon eIDAS pour l'identification des TPP. L'article 34 des RTS exige que chaque appel d'API entre banques et TPP soit authentifié à l'aide de certificats qualifiés, créant ainsi une demande massive de PKI dans tout le secteur financier européen.

Avec des milliers de TPP opérant dans l'UE, chacun nécessitant des QWAC et des certificats de cachet électronique qualifié (QSealC), la PSD2 est devenue l'un des plus importants moteurs d'émission et de gestion du cycle de vie des certificats qualifiés sur le marché européen. Les futures PSD3 et PSR devraient s'appuyer sur ces fondations.

Exigences clés

QWAC pour l'identification des TPP (RTS art. 34)

Les prestataires tiers doivent utiliser des Qualified Website Authentication Certificates pour s'identifier lorsqu'ils accèdent aux API bancaires, garantissant des communications d'open banking authentifiées et de confiance.

Cachets électroniques qualifiés (QSealC)

Les prestataires de services de paiement doivent utiliser des certificats de cachet électronique qualifié pour signer les messages d'API, garantissant l'origine et l'intégrité des données échangées entre institutions financières.

Authentification forte du client (SCA)

Les transactions de paiement exigent une authentification multifacteur reposant sur au moins deux des trois éléments suivants : connaissance, possession et inhérence, soutenue par une infrastructure sécurisée fondée sur les certificats.

Canaux de communication sécurisés

Toutes les communications entre banques et prestataires tiers doivent emprunter des canaux sécurisés et chiffrés avec authentification mutuelle pour protéger les données de paiement en transit.

Enregistrement des TPP et certificats

Les prestataires tiers doivent s'enregistrer auprès des autorités nationales et obtenir des certificats qualifiés contenant leur numéro d'agrément, leurs rôles et les coordonnées de leur autorité compétente nationale (NCA) pour l'accès aux API.

Révocation des certificats et validation en temps réel

Les banques doivent valider les certificats des TPP en temps réel pour chaque appel d'API, en vérifiant le statut de révocation via OCSP ou CRL pour s'assurer que seuls les prestataires autorisés accèdent aux données des comptes.

Jalons clés

15
2015

Adoption

La directive révisée sur les services de paiement (PSD2) est adoptée en novembre 2015, imposant les API d'open banking et l'authentification forte du client.

18
2018

Transposition

Les États membres transposent la PSD2 en droit national d'ici janvier 2018. Les banques doivent commencer à préparer leurs API pour l'accès des prestataires tiers.

19
2019

Application des RTS sur la SCA

Les standards techniques de réglementation sur l'authentification forte du client entrent en vigueur en septembre 2019, imposant les QWAC pour l'identification des TPP.

23
2023 Actuel

Proposition de la PSD3

La Commission européenne propose la PSD3 et le règlement sur les services de paiement (PSR) en juin 2023 pour harmoniser et renforcer davantage les règles applicables aux services de paiement.

25
2025 Application

Adoption attendue de la PSD3/PSR

La nouvelle directive PSD3 et le règlement PSR devraient être finalisés, en s'appuyant sur les fondations de la PSD2 avec des protections renforcées pour les paiements numériques.

Impact sur la PKI et les certificats

La PSD2 a créé l'un des environnements réglementaires les plus intensifs en certificats de l'UE. Voici les implications PKI critiques :
1

Émission massive de QWAC à grande échelle

Avec des milliers de TPP dans toute l'UE nécessitant chacun des QWAC, la PSD2 entraîne une émission de certificats qualifiés à grande échelle, exigeant une infrastructure robuste de la part des prestataires de services de confiance.

2

QSealC pour la signature des messages d'API

Chaque message d'API échangé entre banques et TPP doit être signé avec un certificat de cachet électronique qualifié, garantissant l'intégrité des données et la non-répudiation des transactions de paiement.

3

Validation des certificats en temps réel

Les banques doivent valider les certificats des TPP en temps réel pour chaque appel d'API via OCSP ou CRL, ce qui exige une infrastructure de validation à haute disponibilité capable de traiter des millions de vérifications quotidiennes.

4

Rotation des certificats à grande échelle

La gestion des renouvellements et rotations de certificats sur des milliers de relations avec des TPP exige une gestion automatisée du cycle de vie pour éviter les échecs d'authentification d'API et les interruptions de service.

Comment nous aidons

Evertrust & PSD2

Émission de QWAC et de QSealCStream fournit l'infrastructure PKI souveraine permettant d'émettre des QWAC et QSealC en tant qu'outil de prestataire de services de confiance qualifié, avec protection des clés par HSM et sécurité certifiée par l'ANSSI.

Gestion du cycle de vie à l'échelle bancaireHorizon gère le cycle de vie de milliers de certificats bancaires, offrant une vue centralisée de tous les QWAC et QSealC à travers votre écosystème de TPP.

Renouvellement automatisé pour éviter les échecs d'APILe renouvellement et la rotation automatisés des certificats préviennent les échecs d'authentification d'API susceptibles de perturber les services de paiement et l'expérience client.

OCSP/CRL pour la validation en temps réelStream propose des services OCSP et CRL à haute disponibilité pour la validation en temps réel des certificats, prenant en charge les millions d'appels d'API quotidiens de l'écosystème PSD2.

Parler à un expert Découvrir Stream
Retour au centre de conformité Bénéficiez de conseils d’experts