English version below
Dans le cadre de ses obligations légales au titre de la deuxième directive sur les services de paiements (« DSP2 »), Rakuten France / Rakuten Europe Bank a mis en place un "Mécanisme de Secours".
Le "Mécanisme de Secours" répond à deux objectifs :
- Authentification sûre et fiable du tiers fournisseur appelant (TPP), afin que l'accès aux données de l'utilisateur de services de paiement (« l’Utilisateur ») ne soit accordé qu'aux entités autorisées.
- Permettre l'accès du TPP via la même interface client que celle de l’Utilisateur.
L'URL sur laquelle le TPP peut trouver le mécanisme de secours pour accéder à l'interface client est : https://fallback.psd2.bank.rakuten.eu.
Pour pouvoir utiliser le mécanisme de secours, le TPP devra suivre le processus suivant :
- Avoir en sa possession un certificat d'authentification de site web qualifié eIDAS (QWAC) valide.
- Intégrer le certificat QWAC eIDAS en tant que certificat client pour la connexion TLS mutuelle dans toutes les demandes faites à l'URL mentionnée précédemment et dédiée à l'accès au "Mécanisme de Secours".
La validité du certificat eIDAS du TPP sera alors vérifiée ainsi que les rôles DSP2 du TPP. Par la suite, la procédure sera la suivante :
- Le TPP est redirigé vers l'interface de secours dédiée de la banque, qui offre les mêmes fonctionnalités pour l'accès aux comptes de l'Utilisateur que l'interface web de l'Utilisateur (banque en ligne). Le PPT se verra présenter une page de connexion dédiée, où doivent être fournis données d’identification de l’utilisateur de la même manière que les solutions de « screen scraping ».
- Le TPP saisit les données d'identification du service d'encaissement afin de procéder à l'authentification, qui sera validée par la banque.
- Si les identifiants de connexion de l'Utilisateurs sont valides, le TPP se verra présenter l'interface web de l'Utilisateur qui contient toutes les informations de compte nécessaires pour l'Utilisateur identifié. Chaque fonctionnalité supplémentaire nécessaire sera accessible de la même manière que sur l'interface web de l'Utilisateur. Le certificat QWAC devra être fourni pour chaque connexion TLS mutuelle.
Le TPP devra suivre ce processus spécifique chaque fois qu'un accès de secours sera demandé. Le TPP sera authentifié par son certificat client QWAC.
Pour toute information ou aide, vous pouvez nous contacter en utilisant le formulaire de contact ci-dessous : https://fr.shopping.rakuten.com/help/c_reb_money
PSD2 Fallback Mechanism
As part of its legal obligations under PSD2, Rakuten France / Rakuten Europe Bank implemented a “Fallback Mechanism”.
The “Fallback Mechanism” fulfills two objectives:
- Secure and reliable authentication of the calling Third-Party Provider (TPP), so that access to Payment Service User (PSU) data is granted only to authorized entities.
- Enabling TPP access to use the same client interface, as the PSU.
The URL on which TPP can query the Fallback Mechanism to access the client interface is: https://fallback.psd2.bank.rakuten.eu.
In order to use the Fallback Mechanism, the TPP will need to follow the following path:
- Have in their possession a valid eIDAS Qualified Website Authentication Certificate (QWAC).
- Integrate the eIDAS QWAC certificate as a client certificate for mutual TLS connection in all requests made to the previously mentioned URL dedicated to access the “Fallback Mechanism”.
The validity of the TPP’s eIDAS certificate will then be checked as well as the PSD2 roles of the TPP. Afterwards, the procedure will be the following:
- The TPP is redirected to the bank’s dedicated fallback interface, which provides the same functionality for access to PSU accounts, as the PSU’s web interface (e-banking). The TPP will be presented with a dedicated login page, where the PSU’s authentication credentials are expected in the same manner as screen scraping solutions.
- The TPP enters the PSU’s credentials in order to perform authentication so that they will be validated by the bank.
- If the PSU’s login credentials are valid, the TPP will be presented with web interface of the PSU that contains all the necessary account information for the authenticated PSU. Each necessary additional functionality will be accessible in the same way it is on the PSU’s web interface. The QWAC certificate will need to be provided for each mutual TLS connection.
The TPP will have to follow this specific process each time a fallback access is requested. The TPP will be authenticated by its QWAC client certificate.
In any case if you need any help, please contact us by using the contact form below: