Zarządzanie finansami

Informacje dla Dostawców Usług Płatniczych

Informacje dla Dostawców Usług Płatniczych

Informacje dla Dostawców Usług Płatniczych

Zgodnie z Rozporządzeniem Komisji (UE) 2018/3891 (Rozporządzenie) w związku z przepisami ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych2 oraz niektórych innych ustaw od 14 marca 2019 r. zobowiązuje dostawców usług płatniczych prowadzących rachunki do udostępnienia środowiska testowego. Środowisko służy do testowania połączenia i funkcjonalności, tak aby umożliwić posiadającym zezwolenie dostawcom (Third Party Providers – TPP) świadczącym m.in. usługę inicjowania płatności (Payment Initiation Service – PIS) oraz dostawcom świadczącym usługę dostępu do informacji o rachunku (Account Information Service – AIS) lub dostawcom usług płatniczych, którzy złożyli wniosek o stosowne zezwolenie, przetestowanie ich oprogramowania i aplikacji wykorzystywanych do oferowania usług płatniczych użytkownikom.

W tym celu Bank uruchomił środowisko testowe CitiConnect API Developer Portal, które jest dostępne pod adresem: https://tts.sandbox.developer.citi.com/citiconnect. Poniżej znajdują się informacje dotyczące jego zawartości, możliwości, dostępnych usług z których skorzystać mogą TPP.

Za pośrednictwem środowiska testowego nie prowadzi się wymiany danych szczególnie chronionych. Taką możliwość Bank Handlowy w Warszawie S.A. (Bank) udostępni zgodnie z terminami wynikającymi z Rozporządzenia w ramach docelowego środowiska produkcyjnego.


Zakres usług, które TPP mogą świadczyć z wykorzystaniem CitiConnect API

CitiConnect API umożliwia dostawcom usług płatniczych świadczenie na rzecz klientów następujących usług:

  • Inicjowanie płatności;
  • Dostęp do informacji o rachunku.

Wybrane funkcjonalności dostępne w środowisku testowym

CitiConnect API posiada następujące funkcjonalności umożliwiające integrację ze środowiskiem bankowym:

  • Identyfikacja TPP
  • Uwierzytelnianie użytkownika (posiadacza rachunku)
  • Inicjowanie płatności
  • Sprawdzenie statusu płatności
  • Sprawdzenie salda
  • Sprawdzenie dostępności wyciągu
  • Pobranie wyciągu
  • Pobranie potwierdzenia płatności
  • Pobranie historii rachunku.

Szczegóły techniczne każdej z usług dostępne są w pełnej dokumentacji technicznej (Dokumentacja), którą można uzyskać kontaktując się z naszymi ekspertami wysyłając wiadomość email na adres helpdesk.ebs@citi.com lub samodzielnie pobrać po zalogowaniu się do środowiska testowego.

Pełną treść dokumentacji mogą otrzymać wyłącznie podmioty, które posiadają stosowne zezwolenie/rejestrację lub złożyły taki wniosek do właściwego organu. Po stronie TPP leży obowiązek wykazania, że posiada on stosowne zezwolenie/rejestrację lub złożył odpowiedni wniosek.


Wymiana danych pomiędzy TPP a Bankiem

Wymiana danych powinna odbywać się z wykorzystaniem formatu ISO XML.

Zakres informacji, przekazywanych TPP przez Bank jest uzależniony od charakteru świadczonej przez TPP usługi.


Dostęp do środowiska testowego oraz wniosek o przekazanie Dokumentacji

W celu uzyskania dostępu do środowiska testowego i/lub Dokumentacji prosimy o przesłanie wiadomości e-mail na adres helpdesk.ebs@citi.com ze wskazaniem następujących danych:

  • Numer i nazwa TPP ze stosownego rejestru(w przypadku podmiotu w trakcie rejestracji prosimy o przesłanie skanu lub uwierzytelnionej kopii potwierdzenia złożenia wniosku o rejestrację/zezwolenie do właściwego organu)
  • Imię i nazwisko użytkownika
  • Adres e-mail użytkownika oraz inne dane kontaktowe

Brak tych informacji uniemożliwi nam przekazanie dokumentacji lub nadanie dostępu do środowiska testowego.

Po poprawnej weryfikacji prośby Bank przekaże wnioskodawcy e-mail wraz z linkiem aktywacyjnym umożliwiającym ustawienie hasła i zalogowanie się do środowiska testowego lub Dokumentację.


Wymagana dokumentacja

W celu uzyskania dostępu do środowiska testowego Bank nie wymaga, z wyłączeniem dokumentacji, o której mowa w sekcji „Dostęp do środowiska testowego oraz wniosek o przekazanie dokumentacji”), żadnej dodatkowej dokumentacji od TPP, chcących świadczyć usługę PIS i AIS.


Kontakt

W przypadku zapytań, problemów czy błędów związanych z funkcjonowaniem środowiska testowego zapraszamy do kontaktu z naszymi ekspertami poprzez wiadomości e-mail.
Adres do kontaktu: helpdesk.ebs@citi.com




INFORMACJE SZCZEGÓŁOWE


Identyfikacja w oparciu o certyfikaty

Identyfikacja TPP w ramach środowiska testowego działa w oparciu o certyfikaty elektroniczne.

Firma zamierzająca przetestować świadczenie usługi PIS i/lub AIS powinna mieć swój własny ważny certyfikat do wykorzystania podczas identyfikacji w środowisku testowym.

Każda usługa dostępna w ramach środowiska testowego uruchamiana jest w oparciu o poniższe kroki:

  • Identyfikacja i uzyskanie oAuth token
  • Umieszczenie odpowiednich danych w nagłówku, wskazujących usługę
  • Podpisanie i zaszyfrowanie „payloadu” czyli elementów niezbędnych do realizacji danej usługi
  • Wylogowanie

Proces identyfikacji pozwala na wygenerowanie oAuth tokena, który z kolei umożliwia wywołanie kolejnych zapytań API (np. inicjowanie płatności). Szczegóły opisane są w Dokumentacji.
Przykład zapytania identyfikacyjnego:


Outgoing Payment
POST https://tts.sandbox.apib2b.citi.com/citiconnect/sb/authenticationservices/v1/oauth/token

Content-Type: application/xml
Authorization: Basic MTIzNGE1YjYtY2RlNy04ZjkwLTEyZ2gtMzQ1aWo2Nzg5MDEyOmFiY2RlZmdoaWprbG1ub3A=

Outgoing Payment
Body:
<?xml version="1.0" encoding="UTF-8"?>
<oAuthToken xmlns="http://com.citi.citiconnect/services/types/oauthtoken/v1">
<grantType>client_credentials</grantType>
<scope>/authenticationservices/v1</scope>
<sourceApplication>CCF</sourceApplication>
</oAuthToken>

Uwierzytelnianie Użytkownika (posiadacza rachunku)

Uwierzytelnianie Użytkownika działa w oparciu o certyfikaty elektroniczne wykorzystywane przez podmioty do składania podpisów w postaci elektronicznej.
W części „body” należy wstawić „payload” czyli szczegóły konkretnej usługi do uruchomienia po uwierzytelnieniu. W powyższym przypadku zaprezentowana została usługa inicjowania płatności.

„Payload” musi zawierać zgodę klienta w postaci certyfikatu elektronicznego./br> Szczegóły procedury opisane są w Załączniku T (Rozdział 4 i 5) do Dokumentacji.


Bezpieczeństwo

Bank zapewnia bezpieczeństwo poprzez wykorzystywanie certyfikatów elektronicznych. Obsługujemy certyfikaty wybranych dostawców (lista obsługiwanych dostawców dostępna w Dokumentacji).

Poufność komunikacji i przesyłanych danych zapewniona jest poprzez zastosowanie bezpiecznego protokołu TLS. Transmisja danych odbywa się w połączeniu z serwerami Banku.

Podczas identyfikacji i uwierzytelnienia Bank uruchamia procedury kontroli dostępu i weryfikacji certyfikatów elektronicznych.



1 Rozporządzenie Komisji (EU) z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji dostępne pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32018R0389.

2 Dz. U. z 2018 r., poz. 1075.