obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

QWAC

Qualified Website Authentication Certificate (certificado qualificado de autenticação de site)

Certificado eIDAS que prova a identidade de um TPP no nível de transporte (mTLS). É o passaporte que toda fintech deve apresentar a cada chamada de uma API bancária.

Veja também:QSealCmTLSeIDAS TSPSCATPPASPSP

Definição

O QWAC (Qualified Website Authentication Certificate) é um certificado eIDAS qualificado que prova, no nível de transporte, a identidade de um TPP junto aos bancos.

Na prática, é o certificado que, via mTLS, diz ao banco "eu sou mesmo a Bridge, a Fintecture ou a Pennylane, e aqui está minha autorização da ACPR".

QWAC vs QSealC: transporte vs aplicação

Dois certificados complementares:

  • QWAC — segurança no nível de transporte (TLS): autentica o TPP no estabelecimento da conexão mTLS e, depois, não serve mais.
  • QSealC — segurança no nível aplicativo: assina cada requisição HTTP individualmente, com uma assinatura que sobrevive aos intermediários e serve de prova jurídica.

Um TPP precisa dos dois: o QWAC para se conectar, o QSealC para assinar o que envia.

O que um QWAC contém (específico da PSD2)

Além dos campos X.509 clássicos, um QWAC de PSD2 carrega extensões:

  • NCAName + NCAId: a autoridade nacional de autorização (ex.: "FR-ACPR").
  • AuthorisationNumber: o número de autorização do TPP.
  • PSD2 Roles: os papéis autorizados (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

A cada chamada mTLS, o ASPSP inspeciona esses campos: um TPP que chama um endpoint de AIS sem o papel PSP_AI é rejeitado.

O que um QWAC não faz

  • Não assina as requisições no nível aplicativo (papel do QSealC).
  • Não sobrevive à camada TLS: um proxy que termina o TLS perde o QWAC.
  • Não é reutilizável de um ambiente para outro: um QWAC por ambiente (sandbox, pré-prod, prod).
  • Não dispensa a SCA: ele autentica o TPP, não o PSU.

No ecossistema PSD2

O QWAC é o primeiro filtro do lado do ASPSP: antes mesmo de olhar a requisição, o banco verifica via mTLS que está falando com um ator autorizado e identificado. Sem um QWAC válido, nenhuma requisição passa.

Exemplos concretos

  • Emissores na França: Certigna (DhiMyOtis) e Certinomis (La Poste / Docaposte), os mais usados para a conformidade com a ACPR.
  • Emissores na Europa: D-Trust (muito difundido entre os bancos da região DACH), Buypass (Noruega), InfoCert (Itália) para o mercado do Berlin Group.
  • Erro típico: colocar o QWAC atrás de um load balancer ou de um WAF que termina o TLS faz perder a autenticação mTLS — a solução é o passthrough do TLS até o backend.
  • Rotação: um QWAC dura 1 a 2 anos; automatizar a rotação (via API do TSP) evita uma interrupção em um domingo à noite.
  • Custo: 300 a 1.500 €/ano por certificado, que pode subir rápido para uma plataforma multi-TPP em marca branca.

Veja também: Manual STET

Fontes

Voltar ao glossário