Esta especificación describe el conjunto de APIs que componen el flujo de pagos de la plataforma de Redeban Open Finance, el cual se divide en dos componentes principales.
En el primer componente, se encuentran las APIs de iniciación de pagos (domestic payments consent), que se centran en la creación, autorización y recuperación del consentimiento. En el segundo componente, están las APIs de envío de pagos (domestic payment), encargadas de la confirmación de fondos en el banco, la creación del pago y la recuperación de su estado.
El flujo de integración comienza cuando el TPP invoca las APIs de iniciación de pagos, para crear el consentimiento y con ello obtener la autorización del cliente y del banco para realizar la operación. Una vez completada esta etapa, el TPP haciendo uso de las APIs de envío de pagos, inicia la transacción con el banco registrado. En este paso, debe utilizar el mismo payload de detalles de pago definido durante la configuración del consentimiento.
Notas:
- Los bancos registrados son aquellos que están integrados en la plataforma de Open Finance de Redeban para la realización de pagos mediante las APIs.
- Cualquier operación realizada sobre las APIs de envío de pagos no modificará el estado del recurso de la configuración del consentimiento.
Pasos en el flujo de consumo de las APIs
1. Solicitud de iniciación de pago
El flujo comienza cuando el cliente le solicita al TPP realizar un pago usando la aplicación del TPP.
2. Configurar el token de credenciales del cliente
Para configurar la solicitud de pago, el TPP debe obtener el token de acceso utilizando el tipo de autorización basada en credenciales del cliente (client credentials grant type) todo esto en un contexto seguro y del lado del servidor entre el TPP y la plataforma de Redeban. Para la configuración del claim denominado scope este debe estar asignado como payments.
Una vez que el token de acceso expire, el TPP deberá solicitar uno nuevo utilizando el payload correspondiente.
3. Configurar la solicitud de consentimiento de la orden de pago
Un TPP comienza el proceso de iniciación de pagos registrando su intención de realizar un pago en nombre del cliente. Posteriormente, el TPP debe obtener el consentimiento del cliente para poder autorizar dicha solicitud y así permitirle al TPP enviar el pago.
Durante esta fase, el TPP debe conectarse con la plataforma de APIs de Redeban para configurar la solicitud de consentimiento de la orden de pago. Al crear exitosamente el recurso de la orden de pago, el TPP recibe un Consent ID como evidencia de su intención. Es posible recuperar el estado del consentimiento de la orden de pago usando este identificador.
4. Autorizar el consentimiento
Una vez configurado exitosamente el proceso de iniciación de pagos, el TPP solicita al cliente realizar el SCA (Strong Customer Authentication) y así autorizar el consentimiento con el banco registrado. Para ello, el TPP redirige al cliente a la plataforma de Redeban que se encarga de coordinar el SCA y el flujo de autorización del consentimiento con el banco.
Esta redirección incluye el Consent ID generado previamente, lo que permite correlacionar la solicitud de pago inicial con el consentimiento.
El consentimiento debe estar asociado a las cuentas que tiene el cliente. Hay dos posibles escenarios para la selección de las cuentas:
- Sin cuenta proporcionada : Si en la configuración inicial no se incluyó información de cuentas, tras el SCA, se muestra al cliente final un flujo de autorización del consentimiento donde se detallan las cuentas disponibles y se solicita la selección de la(s) cuenta(s) de pago. A partir de la acción del cliente, se muestran los detalles finales del consentimiento y, tras la confirmación definitiva, la plataforma de Redeban marca el consentimiento como autorizado o rechazado.
- Con cuenta proporcionada: Si en la configuración inicial se incluyó la cuenta a utilizar, la página de SCA del banco muestra dicha cuenta junto con los detalles del consentimiento para su revisión y aprobación.
Tras la autorización exitosa del consentimiento, el TPP recibirá un código de autorización que puede usar para solicitar un token de acceso de corta duración. Con este token, el TPP podrá consumir las APIs de envío de pagos.
A continuación, se muestra un ejemplo del código de autorización (code) enviado en la URL de redirección:
https://{URL_redirección}?code=HGdwkztThJ-qd318PZS0xxZ3mY8fQnQIAjMNLc&state=eyJhbGci&iss=https%3A%2F%2Fredebanopenfinance.coEn aquellos casos en que el cliente no haya proporcionado información de las cuentas en la solicitud inicial, se mostrarán las cuentas disponibles y se le solicitará seleccionar las cuentas de pago a las cuales se aplicará el consentimiento.
5. Obtener el token de acceso para consumir APIs del banco
Para acceder a las APIs de confirmación de fondos (funds-confirmation) y envío de pagos (payment-order submission) el TPP debe obtener el token de acceso usando un tipo de autorización basada en código de autorización (authorization code grant type) todo esto en un contexto seguro y del lado del servidor entre el TPP y la plataforma de Redeban.
6.Confirmar fondos
Una vez que el cliente se ha autenticado y ha autorizado el consentimiento mediante SCA, el TPP puede verificar la disponibilidad de fondos solicitando la operación de funds-confirmation usando el consentimiento de la orden de pago.
7.Crear el envío de una orden de pago
Una vez que el TPP tiene el token de acceso requerido, puede consumir las APIs de envío de pagos para iniciar el procesamiento del pago con el banco registrado. Cada token se puede usar solo una vez para enviar un pago. Tras el envío exitoso de la orden de pago, el TPP recibe un Payment ID que puede usar para recuperar el estado del envío de la orden de pago.