Como provedor certificado, a Teros implanta e gerencia soluções de segurança no Brasil com as mesmas diretrizes e confiabilidade testadas e aprovadas em países em estágio avançado
O que é OpenID
Uma das mais recentes tentativas de tornar o mundo virtual mais seguro é a tecnologia OpenID, proposta pelo programador Brad Fitzpatrick, criador do LiveJournal. O sistema propõe a criação de uma identidade centralizada para cada usuário da rede mundial, para que a autenticação de sites seja feita através da leitura de um identificador de banco de dados com todas as informações relevantes, em vez do processo padrão de inserção de login e senha. Isto poupa recursos, pois diminui pela metade o número de dados diferentes que precisam ser armazenados para identificar cada usuário.
Trata-se de uma rede distribuída na qual a identidade do utilizador é dada por uma URL ou XRI que pode ser verificada por qualquer servidor executando o protocolo. Em sites que suportam OpenID, utilizadores não necessitam criar uma nova conta antes de poder aceder. Só é necessário autenticação por um site que suporta OpenID, chamado provedor de identidade. Esse provedor pode então confirmar o dono da OpenID para outro site que suporta OpenID.
O que é o OpenID Foundation
OpenID Foundation é uma organização internacional sem fins lucrativos formada por indivíduos e empresas comprometidas em promover e proteger a tecnologia de OpenID. Foi fundada em 2007 e atua como uma organização pública que representa a comunidade de desenvolvedores, vendedores e usuários. Ela assiste a comunidade provendo infraestrutura necessária e ajudando a promover e suportar a expansão da adoção do OpenID. Esta tarefa envolve gerir propriedade intelectual e de marcas, além de fomentar o crescimento viral e participação global na proliferação do OpenID.
O que são FAPIs
A sigla refere-se a Financial-grade APIs, ou seja, APIs financeiras. São as APIs que possuem protocolos de segurança e privacidade suficientes para suportar casos de uso para contas de banco de investimento e comercial, como também contas de cartão de crédito e de seguros.
O FAPI (financial-grade API) é um protocolo de segurança criado pela Fundação OpenID que estabelece critérios técnicos para uso de APIs na indústria financeira. Ele permite que a autenticação de usuários em sites seja feita por meio de uma URL ou XRI, sem a necessidade de criação de um novo cadastro completo, com login e senha, para cada novo site.
A tecnologia OpenID já vem sendo utilizada em sistemas open banking bem sucedidos pelo mundo, como no Reino Unido.
Open banking
Open banking é uma forma nova e mais segura de consumidores e pequenos negócios dividirem informação financeira. Open banking também habilita fintechs a oferecer a instituições financeiras produtos bancários e de pagamento.
A tecnologia foca em como os dados podem ser usados para ajudar pessoas a transacionar, guardar, emprestar, pagar e investir seu dinheiro. É amplamente reconhecido que as pessoas têm o direito de tomar suas decisões financeiras e de ter mais controle sobre seus dados financeiros, assim como a possibilidade de fornecer aos seus parceiros o acesso aos seus dados bancários.
Para instituições financeiras, o open banking significa utilizar de APIs que asseguram o compartilhamento de dados, processos, aplicações bancárias e sistemas para um ecossistema de desenvolvedores, fintechs e parceiros. é um modelo de negócios que requer a proteção dos dados do consumidor e a evidência de seu consentimento.
Open banking no Brasil e a Certificação FAPI do OpenID
O Brasil publicou a tecnologia que será utilizada em open banking, incluindo os padrões de segurança e identidade que o setor financeiro deve adotar e implementar em múltiplas fases em 2021 e 2022. Ao adotar as especificações das FAPIs da Open ID Foundation, o Brasil está elevando o padrão ao nível do grupo de trabalho de FAPIs de OpenID.
“Estamos impressionados pelos nossos colegas brasileiros que se tornaram membros da OpenID Foundation e sua contribuição para os grupos de trabalho que envolvem padrões de OpenID.” OpenID Foundation
Teros é um provedor OpenID certificado padrão FAPI para open banking Brasil
A Teros é, desde julho de 2021, um provedor certificado para atuar com OpenID padrão FAPI em open banking no Brasil, fazendo parte de uma seleta lista das instituições nacionais certificadas. Esta é a confirmação de que a Teros já está pronta para implantar e oferecer uma autenticação simplificada de usuários às empresas aderentes, auxiliando os participantes a superar o desafio tecnológico da implantação da operação de open banking em conformidade com as práticas estabelecidas para os protocolos de segurança da informação.
Ao tornar-se um provedor OpenID certificado padrão FAPI para open banking Brasil, Teros opera com segurança o fluxo de autenticação necessário para transações de open banking. A ilustração abaixo demonstra o fluxo padrão do protocolo e o relacionamento e os papéis dos envolvidos. Em agosto de 2021 um dos clientes Teros tornou-se a primeira instituição brasileira homologada em todos os testes da certificação obrigatória OpenID para open banking.
Na prática, a confirmação de identidade para acessar conteúdo protegido pela nossa solução de open banking funciona assim:
- (A) Para ter acesso ao conteúdo protegido da API (Resource Server) o Client (A) solicita autorização (implicity) ao Resource Owner.
- (B) A autorização é concedida pelo usuário (Resource Owner) ao Client.
- (C) O Client solicita um token de acesso ao Authorization Server através da autenticação de sua própria identidade.
- (D) O Usuário (Resource Owner) confirma sua identidade através do seu usuário e senha ou através de um terceiro. Se tudo ocorrer bem um Access Token será criado e devolvido para o Client gerenciar.
O que a Teros entrega
A Teros entrega as APIs de integração de todas as etapas acima, o sistema de emissão de tokens e as interfaces para obtenção de autorização. A segurança e verificação é garantida pelo provedor de identidade, o OpenID, que tem sua eficácia e confiabilidade comprovadas pela adoção em países mais avançados no open banking, como o Reino Unido:
1 – As API de integração entre os papéis
2 – Sistema de emissão dos tokens de acesso (Authorization Server)
3 – Interfaces para a obtenção da autorização com o dono dos dados