obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

QWAC

Qualified Website Authentication Certificate (certificado cualificado de autenticación de sitio web)

Certificado eIDAS que prueba la identidad de un TPP a nivel de transporte (mTLS). Es el pasaporte que toda fintech debe presentar en cada llamada a una API bancaria.

Ver también:QSealCmTLSeIDAS TSPSCATPPASPSP

Definición

El QWAC (Qualified Website Authentication Certificate) es un certificado eIDAS cualificado que prueba, a nivel de transporte, la identidad de un TPP ante los bancos.

En la práctica, es el certificado que, mediante mTLS, le dice al banco «soy realmente Bridge, Fintecture o Pennylane, y aquí está mi autorización de la ACPR».

QWAC frente a QSealC: transporte frente a aplicación

Dos certificados complementarios:

  • QWAC — seguridad a nivel de transporte (TLS): autentica al TPP al establecerse la conexión mTLS y luego deja de utilizarse.
  • QSealC — seguridad a nivel de aplicación: firma cada petición HTTP de forma individual, con una firma que sobrevive a los intermediarios y sirve de prueba jurídica.

Un TPP necesita ambos: el QWAC para conectarse, el QSealC para firmar lo que envía.

Lo que contiene un QWAC (específico de la PSD2)

Más allá de los campos X.509 clásicos, un QWAC de PSD2 lleva extensiones:

  • NCAName + NCAId: la autoridad nacional de autorización (p. ej. «FR-ACPR»).
  • AuthorisationNumber: el número de autorización del TPP.
  • PSD2 Roles: los roles autorizados (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

En cada llamada mTLS, el ASPSP inspecciona estos campos: un TPP que llama a un endpoint de AIS sin el rol PSP_AI es rechazado.

Lo que un QWAC no hace

  • No firma las peticiones a nivel de aplicación (papel del QSealC).
  • No sobrevive a la capa TLS: un proxy que termina el TLS pierde el QWAC.
  • No es reutilizable de un entorno a otro: un QWAC por entorno (sandbox, preproducción, producción).
  • No exime de la SCA: autentica al TPP, no al PSU.

En el ecosistema PSD2

El QWAC es el primer filtro del lado del ASPSP: antes incluso de mirar la petición, el banco verifica mediante mTLS que está hablando con un actor autorizado e identificado. Sin un QWAC válido, no pasa ninguna petición.

Ejemplos concretos

  • Emisores en Francia: Certigna (DhiMyOtis) y Certinomis (La Poste / Docaposte), los más usados para el cumplimiento de la ACPR.
  • Emisores en Europa: D-Trust (muy extendido entre los bancos de la región DACH), Buypass (Noruega), InfoCert (Italia) para el mercado del Berlin Group.
  • Error típico: colocar el QWAC detrás de un balanceador de carga o de un WAF que termina el TLS hace perder la autenticación mTLS — la solución es el passthrough del TLS hasta el backend.
  • Rotación: un QWAC dura 1 a 2 años; automatizar la rotación (vía la API del TSP) evita un corte un domingo por la noche.
  • Coste: 300 a 1.500 €/año por certificado, que puede dispararse para una plataforma multi-TPP de marca blanca.

Ver también: Manual STET

Fuentes

Volver al glosario