Destina-se aos API Providers, ou seja, empresas dispostas a partilhar os seus dados e a publicar API, sendo recompensadas através da monetização de novas transações, da atração de novos clientes e do maior reconhecimento da sua marca. Do lado da procura, para os Third Party Providers (TPP), geralmente Fintechs e Startups (mas também para as Instituições Financeiras e outras empresas), que pretendem explorar todo o potencial de um mundo conectado para introduzir novos serviços.

Para testar na sandbox, basta um simples registo no nosso website. A Sandbox é um ambiente fechado, sem qualquer ligação aos bancos (API Providers), que recolhe dados estáticos com a mesma estrutura que os dados de produção. Desta forma, um TPP pode assegurar-se de que as mensagens são bem formatadas. Não é necessário utilizar certificados eIDAS ou outras credenciais, para além do registo no nosso site.

O ambiente de Testes e Produção fornece toda a documentação técnica e testes de ponta a ponta para testar completamente as suas aplicações e a experiência do utilizador. Tem de ser um TPP registado e ter um eIDAS válido ou pelo menos ter iniciado formalmente o registo junto de uma Autoridade Nacional Competente (ANC) para a utilização de API DSP2 (Diretiva de Serviços de Pagamento 2). Para as API fora do âmbito da DSP2, os requisitos dependerão do Produto.

A lista dos bancos ligados ao SIBS API Market pode ser consultada na página “fornecedores de APIs” – Connected Banks.

Um API Provider é uma entidade que publica uma API no SIBS API Market. Um Third Party Provider (TPP) é uma entidade que subscreve uma API para integrar nas suas Apps.

A subscrição é feita através de um Catálogo de Produtos que inclui um conjunto de API. Dentro de cada Produto, pode subscrever diferentes planos.

No SIBS API Market, pode encontrar API de Informação de Conta (Account Information), Iniciação de Pagamentos (Payments Initiation) e Disponibilidade de Fundos (Availability of Funds), denominadas “API conformes à DSP2” (PSD2 compliant APIs). Também pode integrar a Lista de Bancos para saber que bancos estão ligados a este mercado. A MB WAY API está também disponível como um método de pagamento API que lhe permite integrar um identificador de número de telefone para efetuar compras.
Poderá consultar as API disponíveis no menu “API Products”. Os detalhes do produto podem ser encontrados em cada “API Documentation” na Sandbox.

O MB WAY é a principal aplicação de pagamentos em Portugal, construída sobre o scheme SIBS MULTIBANCO, com mais de 2 milhões de utilizadores e uma vasta rede de comerciantes. Quer saber mais? Consulte o site MB WAY em (www.mbway.pt).

O MB WAY é uma solução de pagamento, construída sobre o scheme SIBS MULTIBANCO, que permite aos clientes fazer compras online e em lojas físicas, gerar cartões virtuais, enviar dinheiro, pedir dinheiro, dividir a conta e levantar dinheiro a partir de um smartphone, da aplicação MB WAY ou da aplicação de mobile banking da Instituição. Quer saber mais? Consulte o site MB WAY em (www.mbway.pt).

O serviço de iniciação de pagamento permite iniciar uma ordem de pagamento, a pedido do utilizador do serviço, relativamente a uma conta domiciliada noutro prestador de serviços de pagamento (consultar DSP2).

O serviço de informação de contas é um serviço online destinado a fornecer informações consolidadas sobre uma ou mais contas de pagamento detidas pelo utilizador do serviço de pagamento junto de outro prestador de serviços de pagamento ou com mais de um prestador de serviços de pagamento ( consultar DSP2).

Não há custos associados ao acesso e utilização das API no ambiente Sandbox. A utilização das API num ambiente de produção tem um custo baseado nos serviços a consumir e na finalidade da sua utilização. As API regulamentadas pela DSP2 não têm custos de acesso para TPP registados. Os custos podem ser consultados nos Planos de Subscrição (“Subscription Plans”).

A Diretiva de Serviços de Pagamento revista (DSP2) atualiza e complementa as regras da UE estabelecidas pela Diretiva de Serviços de Pagamento (DSP1, 2007/64/CE). Os seus principais objetivos são:

• Contribuir para um mercado de pagamentos europeu mais integrado e eficiente;
• Fomentar uma igualdade de condições para os prestadores de serviços de pagamento (incluindo novos intervenientes);
• Tornar os pagamentos mais seguros e mais eficientes;
• Proteger os consumidores.

A DSP2 alarga o âmbito da DSP1, abrangendo novos serviços e intervenientes, bem como alargando o âmbito dos serviços existentes (instrumentos de pagamento emitidos por prestadores de serviços de pagamento que não gerem a conta do utilizador do serviço de pagamento), permitindo o seu acesso às contas de pagamento.
A DSP2 inclui transações com países terceiros quando apenas um dos prestadores de serviços de pagamento está localizado dentro da UE (denominadas “transações one-leg”).
A fim de tornar os pagamentos eletrónicos mais seguros, a DSP2 introduz medidas de segurança reforçadas, a implementar por todos os prestadores de serviços de pagamento, incluindo os bancos. Em especial, a DSP2 exige que os prestadores de serviços de pagamento apliquem a autenticação forte do cliente nas transações de pagamento eletrónico, como regra geral. Para tal, a Comissão adotou regras que explicitam como deve ser aplicada a autenticação forte do cliente.

Um Third Party Provider (TPP) Regulamentado é uma entidade que é certificada e autorizada por uma autoridade nacional de certificação (ANC), conforme regulamentado pela DSP2 (Diretiva de Serviços de Pagamento) a aceder às informações de uma conta de pagamento (AISP) e/ou a iniciar pagamentos (PISP) em nome do ordenante, desde que tenha o devido consentimento do ordenante para o fazer, mesmo que a conta de pagamento seja domiciliada noutro prestador de serviços de pagamento (por exemplo, um banco). As entidades que utilizam API fora do âmbito da DSP2 são TPP Não-Regulamentadas.

Se pretende tornar-se um TPP regulamentado, e pretende iniciar o processo na nossa ANC local, deve utilizar a caixa de correio própria do Banco de Portugal: sp.psd2@bportugal.

A autenticação forte do cliente é uma autenticação baseada na utilização de dois ou mais elementos pertencentes às seguintes categorias: conhecimento (algo que só o utilizador conhece); posse (algo que só o utilizador possui); e inerência (algo inerente ao utilizador e que o identifica). Estes elementos têm de ser independentes, na medida em que a violação de um deles não compromete a fiabilidade dos outros. A autenticação forte do cliente deve ser concebida de forma a proteger a confidencialidade dos dados de autenticação (ver DSP2).

Qualquer entidade pode registar-se na Sandbox do SIBS API Market, verificar as API disponíveis e testar os seus sistemas com base na interface da Sandbox. Para usar o ambiente de Testes e Produção, é necessário ser um TPP registado, com um certificado eIDAS válido. Consultar também a Pergunta Frequente: “Qual é a diferença entre a Sandbox e o ambiente de Testes e Produção?”

O prestador de serviços de pagamento que gere as contas é um prestador de serviços de pagamento que disponibiliza e mantém contas de pagamento para um ordenante (consultar DSP2).

Por uma questão de princípio, todos os meios de pagamento eletrónicos estão sujeitos a uma autenticação forte do cliente. Contudo, são possíveis isenções ao princípio de autenticação forte do cliente, uma vez que nem sempre é necessário e conveniente exigir o mesmo nível de segurança a todas as transações de pagamento.
Estas isenções foram definidas pela European Banking Authority (EBA) e adoptadas pela Comissão Europeia, tendo em conta o risco envolvido, o montante das transações e os canais utilizados para o pagamento.
Tais isenções incluem pagamentos de baixo valor no ponto de venda (para facilitar a utilização de pagamentos móveis e sem contacto) e também transações à distância (online). As isenções à autenticação forte do cliente procuram evitar perturbar a forma como os consumidores, comerciantes e prestadores de serviços de pagamento operam hoje em dia. Baseiam-se também no facto de existirem mecanismos alternativos de autenticação que são igualmente seguros e protegidos.

Sim, pode. Um TPP pode querer subscrever API com diferentes requisitos de Certificado e, por conseguinte, pode precisar de mais do que um Registo.

Os TPP podem registar várias aplicações, consoante as suas necessidades técnicas e de negócio. A SIBS pode controlar o número de aplicações registadas em ambientes Sandbox e de Testes e Produção, para assegurar uma utilização razoável da plataforma.

Enviar um pedido através da página de contactos