Zarządzanie finansami

Informacje dla Dostawców Usług Płatniczych

Informacje dla Dostawców Usług Płatniczych

Informacje dla Dostawców Usług Płatniczych

Zgodnie z Rozporządzeniem Komisji (UE) 2018/389 1 (Rozporządzenie) w związku z przepisami ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych 2 oraz niektórych innych ustaw od 14 września 2019 r. (Ustawa) dostawcy usług płatniczych prowadzących rachunki zobowiązani są do udostępnienia tzw. interfejsu dostępowego. Interfejs ten ma umożliwić dostawcom (Third Party Providers – TPP) posiadającym stosowne zezwolenie organu nadzoru świadczącym m.in. usługę inicjowania płatności (Payment Initiation Service – PIS) oraz dostawcom świadczącym usługę dostępu do informacji o rachunku (Account Information Service – AIS) lub dostawcom usług płatniczych, którzy złożyli wniosek o stosowne zezwolenie, integrację ich oprogramowania i aplikacji wykorzystywanych do oferowania usług płatniczych użytkownikom.

W tym celu Bank udostępnia interfejs, spełniający powyższe wymagania.

Poniżej znajdują się informacje dotyczące jego zawartości, możliwości, dostępnych usług z których skorzystać mogą TPP, a także sposób udostępniania samego interfejsu.



Zakres usług, które TPP mogą świadczyć z wykorzystaniem CitiConnect API

CitiConnect API umożliwia dostawcom usług płatniczych świadczenie na rzecz klientów następujących usług:

  • Inicjowanie płatności;
  • Dostęp do informacji o rachunku.


Wybrane funkcjonalności dostępne w interfejsie

CitiConnect API posiada następujące funkcjonalności umożliwiające integrację ze środowiskiem bankowym:

  • Identyfikacja TPP
  • Uwierzytelnianie użytkownika (posiadacza rachunku)
  • Inicjowanie płatności
  • Sprawdzenie statusu płatności
  • Sprawdzenie salda
  • Sprawdzenie dostępności środków (Confirmation of Availaibility of Funds - COF)
  • Sprawdzenie dostępności wyciągu
  • Pobranie wyciągu
  • Pobranie potwierdzenia płatności
  • Pobranie historii rachunku.

Szczegóły techniczne każdej z usług dostępne są w pełnej dokumentacji technicznej (Dokumentacja), którą można uzyskać kontaktując się z naszymi ekspertami wysyłając wiadomość email na adres helpdesk.ebs@citi.com.

Pełną treść dokumentacji mogą otrzymać wyłącznie podmioty, które posiadają stosowne zezwolenie/rejestrację lub złożyły taki wniosek do właściwego organu. Po stronie TPP leży obowiązek wykazania, że posiada on stosowne zezwolenie/rejestrację lub złożył odpowiedni wniosek.



Wymiana danych pomiędzy TPP a Bankiem

Wymiana danych powinna odbywać się z wykorzystaniem formatu ISO XML.
Zakres informacji, przekazywanych TPP przez Bank jest uzależniony od charakteru świadczonej przez TPP usługi.



Dostęp do interfejsu oraz wniosek o przekazanie Dokumentacji

W celu uzyskania dostępu do interfejsu i/lub Dokumentacji prosimy o przesłanie wiadomości e-mail na adres helpdesk.ebs@citi.com ze wskazaniem następujących danych:

  • Numer i nazwa TPP ze stosownego rejestru (w przypadku podmiotu w trakcie rejestracji prosimy o przesłanie skanu lub uwierzytelnionej kopii potwierdzenia złożenia wniosku o rejestrację/zezwolenie do właściwego organu)
  • Imię i nazwisko użytkownika
  • Adres e-mail użytkownika oraz inne dane kontaktowe

Brak tych informacji uniemożliwi nam przekazanie dokumentacji lub nadanie dostępu do interfejsu.

Po poprawnej weryfikacji prośby Bank przekaże wnioskodawcy e-mail wraz Dokumentacją. W przypadku prośby o dostęp do interfejsu, Bank skontaktuje się z wnioskodawcą za pośrednictwem telefonu lub wiadomości e-mail w celu przeprowadzenia procesu wdrożenia.



Wymagana dokumentacja

W celu uzyskania dostępu do interfejsu Bank nie wymaga, z wyłączeniem dokumentacji, o której mowa w sekcji „Dostęp do interfejsu oraz wniosek o przekazanie dokumentacji”), żadnej dodatkowej dokumentacji od TPP zamierzających świadczyć usługę PIS i AIS.



Kontakt

W przypadku zapytań, problemów czy błędów związanych z funkcjonowaniem interfejsu zapraszamy do kontaktu z naszymi ekspertami poprzez wiadomości e-mail.
Adres do kontaktu: helpdesk.ebs@citi.com



INFORMACJE SZCZEGÓŁOWE



Identyfikacja w oparciu o certyfikaty

Identyfikacja TPP w ramach interfejsu działa w oparciu o certyfikaty elektroniczne, zgodne z wymogami Rozporządzenia 910/2014 (eIDAS).

Podmiot zamierzający świadczyć usługi PIS i/lub AIS powinien mieć swój własny ważny certyfikat do wykorzystania podczas identyfikacji w interfejsie zgodny z wymogami art. 34 Rozporządzenia 2018/389.

Każda usługa dostępna w ramach interfejsu uruchamiana jest w oparciu o poniższe kroki:

  • Identyfikacja i uzyskanie oAuth token
  • Umieszczenie odpowiednich danych w nagłówku, wskazujących usługę
  • Podpisanie i zaszyfrowanie „payloadu” czyli elementów niezbędnych do realizacji danej usługi
  • Wylogowanie

Proces identyfikacji pozwala na wygenerowanie oAuth tokena, który z kolei umożliwia wywołanie kolejnych zapytań API (np. inicjowanie płatności). Szczegóły opisane są w Dokumentacji.



Uwierzytelnianie Użytkownika (posiadacza rachunku)

Uwierzytelnianie Użytkownika działa w oparciu o certyfikaty elektroniczne wykorzystywane przez podmioty do składania podpisów w postaci elektronicznej.
W części „body” należy wstawić „payload” czyli szczegóły konkretnej usługi do uruchomienia po uwierzytelnieniu. W powyższym przypadku zaprezentowana została usługa inicjowania płatności.

„Payload” musi zawierać zgodę klienta w postaci certyfikatu elektronicznego. Szczegóły procedury opisane są w Dokumentacji.



Bezpieczeństwo

Bank zapewnia bezpieczeństwo poprzez wykorzystywanie certyfikatów elektronicznych zgodnych z wymogami eIDAS. Obsługujemy certyfikaty wybranych dostawców (lista obsługiwanych dostawców dostępna w Dokumentacji).

Poufność komunikacji i przesyłanych danych zapewniona jest poprzez zastosowanie bezpiecznego protokołu TLS. Transmisja danych odbywa się w połączeniu z serwerami Banku.

Podczas identyfikacji i uwierzytelnienia Bank uruchamia procedury kontroli dostępu i weryfikacji certyfikatów elektronicznych.



Niedostępność interfejsu

Informacje o planowanych i nieplanowanych niedostępnościach interfejsu Bank będzie przekazywał za pośrednictwem e-mail na wskazane podczas wdrożenia adresy wnioskodawcy.


1 Rozporządzenie Komisji (EU) z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji dostępne pod adresem: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32018R0389.

2 Dz. U. z 2018 r., poz. 1075.