Componentes essenciais para os ecossistemas Open Finance e Insurance no Brasil e no mundo, as Certificações FAPI e os Certificados ICP-BR estão diretamente ligados aos conceitos de segurança no compartilhamento de informações sensíveis. Mesmo que soe como quesitos semelhantes, a Certificação e os Certificados são de fato, itens completamente distintos no arcabouço regulatório e de compliance dos ecossistemas Open.
Neste artigo, vamos tentar distinguir e detalhar o uso destes dois componentes e reduzir as dúvidas dos times responsáveis pelas iniciativas de compartilhamento dentro das instituições transmissoras.
Certificação FAPI
As Certificações FAPI[1] – Financial Grade APIs são certificações oferecidas às aplicações (i.e. softwares) que possuem o padrão de segurança necessário para o compartilhamento de informações sensíveis, de acordo com a Open ID[2]. Estas aplicações são submetidas à testes automatizados, no chamado Motor de Conformidade, que atestam se a solução – candidata a certificação – cumpre, de fato, o protocolo FAPI Open ID que, por sua vez, possui características distintas para cada ecossistema, como Open Banking e Open Insurance.
As Certificações FAPI podem ser divididas em dois perfis:
· Certificação de Segurança FAPI – Certificação que atesta os protocolos de segurança do servidor de autenticação;
· Certificação DCR/DCM – Certificação que atesta os protocolos de segurança nos processos de gestão de clients (i.e. gestão de aplicações de receptores na solução transmissora);
· Certificação de Segurança Relying Parties (RP) – Certificação que atesta os protocolos de segurança do consumidor/receptor de dados (se faz necessário para consumo de dados).
Hoje são necessários estes dois perfis para garantir o compliance técnico-regulatório nos ecossistemas Open Finance e Insurance. Para garantir a Certificação FAPI, a instituição deve realizar o pagamento da certificação, executar os testes no Motor de Conformidade e enviar as evidências à Open ID em conjunto com um termo de aceite.
Certificação Funcional
O processo de certificação funcional é análogo ao processo de Certificação FAPI. Assim como na Certificação FAPI, as aplicações são submetidas a um outro Motor de Conformidade que atestam regras de segurança e de negócios – garantindo a funcionalidade padrão das aplicações no ecossistema. Este Motor de Conformidade é desenvolvido e aperfeiçoado em conjunto com as especificações técnicas de cada ecossistema e com auxílio da comunidade de instituições transmissoras e receptoras.
Diferentemente da Certificação FAPI, os perfis de teste são inúmeros, e são divididos de acordo com os casos de negócio, endpoints e padrões de estrutura de cada ecossistema. Sendo assim, como é de se esperar, esta suite de testes se difere muito dentre os ecossistemas Open Finance e Open Insurance, por exemplo.
A Certificação Funcional, por sua vez, é gerida pelos Diretórios Centrais de cada ecossistema. Isto garante uma maior celeridade na evolução dos testes funcionais, e centralização de questões técnicas e de negócio no Service Desk de cada ecossistema.
Para garantir a Certificação Funcional, hoje não é necessário realizar um pagamento – porém a submissão das certificações é reservada somente para participantes do ecossistema. Após execução dos testes no Motor de Conformidade, basta enviar as evidências ao Diretório, através do Service Desk.
Importante – Hoje, para que uma instituição, tanto receptora quanto transmissora, seja apta a operar em um ecossistema Open, é necessária a submissão e confirmação de ambas certificações: FAPI e Funcional.
Certificados ICP-BR no Open Finance
Os ecossistemas Open no Brasil fazem uso de certificados (artefatos digitais) para garantir a integridade de servidores e clientes de cada participante. Os certificados têm uma atribuição importante que é autenticar e apresentar um canal seguro para o usuário final no ato de autenticação e uso dos serviços prestados pela entidade participante[3].
Dentre os processos técnicos de segurança que devem ser realizados pelas instituições (e validados nos testes para Certificação FAPI), estes artefactos são utilizados para garantir a idoneidade dos servidores e clientes que acessam informações sensíveis nos ecossistemas Open.
Estes certificados são emitidos por Autoridades Certificadoras autorizadas pelo ICP-Brasil e eles devem ser adquiridos pelas instituições, receptoras ou transmissoras, junto à estas Autoridades.
Enquanto as Certificações são resultado de um processo de avaliação de segurança, padrões de protocolo e funcionalidades da aplicação – os Certificados são ativos digitais que são adquiridos e que só necessitam de informações cadastrais por parte das instituições para que possam ser emitidos.
Estes Certificados são utilizados em ambiente de produção na comunicação entre servidores (transmissoras) e clientes (receptoras) para garantir o canal seguro entre os entes do universo Open.
Em suma: Os Certificados ICP-BR são ativos digitais que são adquiridos junto às Autoridades Certificadoras e garantem a segurança na comunicação entre participantes dos ecossistemas Open.
As Certificações são selos de conformidade das aplicações, que devem ser submetidas ao Motor de Conformidade, e são segregados em selos de Segurança e Funcional.
Por fim, qual é a conexão entre Certificados e Certificação? Os Certificados ICP-BR são utilizados em ambientes de produção, mas suas funcionalidades e utilização são testadas em ambientes de homologação e desenvolvimento nos processos e Motores de Certificação.
[1] Grupo de Trabalho FAPI na OpenID – https://openid.net/wg/fapi/
[2] Mais informações sobre OpenID – https://openid.net/
[3] Padrão de certificados OF – https://openbanking-brasil.github.io/specs-seguranca/open-banking-brasil-certificate-standards-1_ID1-ptbr.html