obOpen Banking Lab
GlossaireSTETBlogContact
Sécurité

QWAC

Qualified Website Authentication Certificate

Certificat eIDAS qui prouve l'identité d'un TPP au niveau du transport (mTLS). C'est le passeport que toute fintech doit présenter à chaque appel d'API bancaire.

Voir aussi :QSealCmTLSeIDAS TSPSCATPPASPSP

Définition

Le QWAC (Qualified Website Authentication Certificate) est un certificat eIDAS qualifié qui prouve, au niveau du transport, l'identité d'un TPP auprès des banques.

Concrètement, c'est le certificat qui, via mTLS, dit à la banque « je suis bien Bridge, Fintecture ou Pennylane, et voici mon agrément ACPR ».

QWAC vs QSealC : transport vs application

Deux certificats complémentaires :

  • QWAC — sécurité au niveau transport (TLS) : authentifie le TPP à l'établissement de la connexion mTLS, puis ne sert plus.
  • QSealC — sécurité au niveau applicatif : signe chaque requête HTTP individuellement, avec une signature qui survit aux intermédiaires et sert de preuve juridique.

Un TPP a besoin des deux : QWAC pour se connecter, QSealC pour signer ce qu'il envoie.

Ce qu'un QWAC contient (spécifique DSP2)

Au-delà des champs X.509 classiques, un QWAC DSP2 porte des extensions :

  • NCAName + NCAId : l'autorité nationale d'agrément (ex. « FR-ACPR »).
  • AuthorisationNumber : le numéro d'agrément du TPP.
  • PSD2 Roles : les rôles autorisés (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

À chaque appel mTLS, l'ASPSP inspecte ces champs : un TPP qui appelle un endpoint AIS sans le rôle PSP_AI est rejeté.

Ce qu'un QWAC ne fait pas

  • Ne signe pas les requêtes au niveau applicatif (rôle du QSealC).
  • Ne survit pas à la couche TLS : un proxy qui termine TLS perd le QWAC.
  • N'est pas réutilisable d'un environnement à l'autre : un QWAC par environnement (sandbox, pré-prod, prod).
  • Ne dispense pas de la SCA : il authentifie le TPP, pas le PSU.

Dans l'écosystème PSD2

Le QWAC est le premier filtre côté ASPSP : avant même de regarder la demande, la banque vérifie via mTLS qu'elle parle à un acteur agréé et identifié. Sans QWAC valide, aucune requête ne passe.

Exemples concrets

  • Émetteurs en France : Certigna (DhiMyOtis) et Certinomis (La Poste / Docaposte), les plus utilisés pour la conformité ACPR.
  • Émetteurs en Europe : D-Trust (très répandu chez les banques DACH), Buypass (Norvège), InfoCert (Italie) pour le marché Berlin Group.
  • Erreur typique : placer le QWAC derrière un load balancer ou un WAF qui termine TLS fait perdre l'authentification mTLS — la parade est le passthrough TLS jusqu'au backend.
  • Rotation : un QWAC dure 1 à 2 ans ; automatiser la rotation (via l'API du TSP) évite une coupure un dimanche soir.
  • Coût : 300 à 1 500 €/an par certificat, qui peut vite grimper pour une plateforme multi-TPP en marque blanche.

Voir aussi : Manuel STET

Sources

Retour au glossaire