10 . 05 . 2022

CIBA – Uma novidade apresentada pelo Open Finance

Tecnologia de autenticação também será aplicada ao Open Insurance

Encontramos, constantemente, mecanismos de autenticação como OpenId e SAML sendo comumente utilizado por organizações no mundo inteiro. Esses mecanismos tem a responsabilidade de garantir a segurança da comunicação e manter um processo amigável para o cliente da organização. O GMail é um exemplo, pois ao tentar acessar o GMail e após clicar no botão ‘Sign In’, uma requisição é enviada para ‘accounts.google.com’, esse processo parece transparente, mas existem vários redirecionamentos feitos na sua frente, dessa forma sendo confirmada sua credencial pode entrar na sua conta de e-mail. Esse processo é o mesmo para outros produtos da Google como o Google Keep, Google Meet ou o próprio Youtube. Em outras palavras, só é preciso estar autenticado no GMail para conseguir acessar um “produto” do Google, você autentica uma vez e acessa qualquer produto sem precisar incluir novamente suas credenciais (e-mail e senha). 

Geralmente existe a expectativa de que para esse tipo de autenticação mais amigável funcionar, existe a expectativa de que será preciso estar no navegador ou no mesmo dispositivo para que a autenticação ocorra. 

Porem existe situações onde um processo interno da organização precise da sua autorização do cliente, mas esse processo ocorre nos servidores internos da organização. Para esse tipo de situação que foi criado a tecnologia CIBA.  

Um exemplo clássico desse fluxo, um atendente do Call Center liga para um cliente, e para continuar com o atendimento o atendente precisa confirmar alguns dados do cliente, pois a organização pode ser processada ou mesmo ser vítima de fraude, todo cuidado é pouco nesse momento. Atualmente essa verificação acontece com uma pergunta como “Informe os 3 últimos números do seu CPF”, infelizmente o CPF não é um dado muito privado, já que é possível conseguir o CPF de uma pessoa pesquisando bases públicas como a do PJ-e ou pagando por um serviço de bureau na internet. Esse método não é muito eficiente, a garantia está nas gravações feitas pela empresa de Call Center e podendo ser realizada uma perícia com os dados da voz do cliente. Mas e quando a interação acontece via Whatsapp ou por um chat dentro de um aplicativo? Visando resolver problemas como esse que surgiram padrões como a do CIBA. 

Afinal o que seria CIBA? 

CIBA (Client Initiated Backchannel Authentication) é um Fluxo de autenticação que desacopla a aplicação cliente e o servidor de autenticação. O servidor de autenticação e a aplicação cliente comunicam através do mundo obscuro da APIs (comunicação servidor a servidor). Essa especificação faz parte do FAPI (Financial-guide API), o FAPI foi projetado para melhorar a segurança dos serviços on-line e garante a gestão do consentimento para o produto financeiro. 

Os documentos que regulam o Open Insurance mencionam que vai existir uma interoperabilidade com o Open Banking, conforme previsto no inciso VII do art. 3º da Resolução CNSP nº 415. 

Usando esse padrão é possível iniciar o pedido de autorização pelo servidor da organização ou pelo atendente do Call Center, simplificando o processo para o cliente final. Diferente das alternativas mais conhecidas, como é o caso do Authorization code flow e implicit flow. Deixando mais claro, é possível iniciar o processo, mas quem vai finalizar sempre será o cliente final. O poder de decisão está com o cliente final. 

E qual a grande vantagem de usar o CIBA? 

Vou destacar duas situações, a primeira é um fluxo de call center. Onde para vender um produto precisamos da confirmação do cliente. Conforme visto na imagem 02, um operador de call center realiza a ligação e para finalizar a venda inicia o processo autenticação, enviando um e-mail ou sms para confirmar as credenciais do cliente e finalizar a operação. 

A segunda situação seria um processo interno, onde precisamos realizar um fluxo de negócio como uma verificação adicional do perfil do cliente, somente no momento que precisamos dessa autorização adicional que solicitamos o consentimento, enviando ao cliente um SMS ou um e-mail com a exposição do motivo e qual a finalidade dessa etapa adicional. Mantendo assim o mínimo de informações necessárias para realizar um processo de negócio e estar em conformidade com a LGPD, pois como a base da LGPD é o consentimento, será necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado e evitando de solicitar consentimento para ações que a empresa não vai precisar. 

Após a LGPD o cliente final passou a ser o dono legitimo dos seus dados, as organizações precisam implementar uma jornada de consentimento para estar em conformidade com a LGPD, e segundo a própria o consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O Open Insurance surge como uma proposta para operacionalizar essa regulamentação agregando a segurança da informação nos processos de seguros. Tecnologia como o CIBA surge para ajudar as organizações a estar em conformidade com regulamentações do Open Insurance e LGPD.  

A equipe do Open Banking criou um modelo para seguir de guia no fluxo de consentimento, esse guia dá uma visão muito clara de como outras organizações devem tratar o consentimento. Veja abaixo como um protótipo criado por eles: 

https://www.figma.com/proto/YN2yWmQYYQCuVF12KnDHcO/Open-Banking-Fase-3?page-id=32:2&node-id=108:902&viewport=-1672,-2141,0.5276511907577515&scaling=scale-down