obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

eIDAS TSP

eIDAS Trust Service Provider

Terceiro de confiança qualificado que emite os certificados QWAC e QSealC de que cada TPP precisa para se identificar junto aos bancos europeus.

Veja também:TPPASPSPNCAACPR

Definição

Um eIDAS TSP (Trust Service Provider) é um terceiro de confiança qualificado no sentido do regulamento eIDAS.

Para a DSP2, seu papel é bem concreto: é ele que emite os certificados QWAC e QSealC de que todo TPP (AISP, PISP, CBPII) precisa para se identificar junto aos bancos e assinar suas requisições.

Por que um certificado eIDAS para a DSP2

Quando um TPP chama a API de um banco, o ASPSP precisa verificar duas coisas em alguns milissegundos:

  1. Quem é você? O QWAC (Qualified Website Authentication Certificate) autentica o TPP via mTLS, no nível de transporte.
  2. Você está autorizado para esse papel? O certificado contém o número de autorização concedido pela NCA e a lista de papéis (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

Para as requisições assinadas (sobretudo pagamentos), o QSealC (Qualified electronic Seal Certificate) acrescenta uma assinatura qualificada no nível aplicacional (HTTP-signature) — o único meio, em caso de litígio, de provar quem enviou o quê.

O que um eIDAS TSP faz

  • Verifica a autorização do TPP junto à NCA (registro EBA, REGAFI, BaFin).
  • Emite o QWAC e o QSealC, com os papéis PSD2 integrados.
  • Renova os certificados (validade típica de 1 a 2 anos).
  • Revoga em caso de retirada da autorização ou de comprometimento.
  • Publica seus certificados em uma CRL / OCSP consultável em tempo real.

O que um eIDAS TSP não faz

  • Não concede autorização DSP2: isso cabe à NCA; o TSP apenas constata a autorização.
  • Não valida uma chamada de API: é o ASPSP que verifica o certificado a cada requisição.
  • Não opera em todo lugar sem habilitação: ele deve constar na Trusted List de cada Estado.
  • Não é gratuito: de algumas centenas a alguns milhares de euros por ano e por certificado.

No ecossistema PSD2

O TSP é o elo de confiança entre a NCA (que certifica a identidade jurídica do TPP) e o ASPSP (que precisa reconhecê-lo tecnicamente a cada chamada). Sem QWAC e QSealC válidos, nenhuma chamada para um banco passa.

Exemplos concretos

  • TSP qualificados na França: Certigna (DhiMyOtis), Certinomis (Docaposte / La Poste), ChamberSign — todos na Trusted List francesa publicada pela ANSSI.
  • TSP qualificados na Europa: D-Trust (Bundesdruckerei, DE), Buypass (NO), InfoCert (IT), Trustpro (IE) — mais de 200 TSP qualificados no EEE.
  • Custo e prazos: de 2 a 4 semanas para a primeira emissão, alguns dias para as renovações; tarifas de 300 a 2.000 €/ano por certificado.
  • Escolher seu TSP: reputação junto aos bancos (alguns preferem TSP locais), prazos de reemissão, suporte para as rotações automatizadas, API de emissão (útil para escalar uma plataforma multi-TPP).
  • Trusted Lists: para verificar se um TSP é qualificado, consultar a EU LOTL (List of Trusted Lists) mantida pela Comissão — todo banco sério a utiliza para validar a cadeia de certificados.

Veja também: Manual STET

Fontes

Voltar ao glossário