Gestão de Consentimento no Open Banking, segura, eficiente e padronizada com os protocolos do Bacen
As Instituições financeiras transmissoras de dados devem implementar as APIs de consentimentos em suas instituições, dado que antes de compartilhar os dados de seus clientes, estes devem confirmar o consentimento através de um “front-end white-label”, pertencente a instituição.
No Webinar, Orli Machado e Rodrigo Barrocal, apresentam o Crystal PSD2 Open Banking Plataform e a API do Open Banking
De acordo com a LGPD, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Basicamente a gestão de consentimento, são analizados o consentimento, a revogação e o que o titular consentiu e revogou.
Para o Open Banking a resolução prevê uma séria de requisitos, ainda mais rígidos do que os previstos na LGDP.
Sendo o consentimento uma ciência transparente do titular de dados sobre a finalidade do tratamento de seus dados pessoais, podendo o titular discordar deste tratamento. A instituições participantes possuem o dever de informar ao titular de dados as possíveis consequências do não fornecimento de seus dados.
O consentimento livre, informado, prévio, deverá ser obtido através de linguagem clara e relacionar as finalidades pré-determinadas, sendo vedada a sua obtenção mediante contrato de adesão, por meio de formulário com opção de aceite previamente preenchido.
Por fim, caberão aos dos bancos, fintechs e instituições financeiras participantes viabilizarem o acesso ao cliente, garantindo que este seja informado sobre quais dados serão coletados, como serão tratados, suas finalidades e ainda, qual o período de compartilhamento.
A FAPI (Financial-grade API) fornece diretrizes específicas de implementação para os serviços financeiros on-line.
Formada por um conjunto de especificações de schemas JSON, protocolos de segurança e privacidade, o perfil de segurança FAPI (Financial-grade API) esta alinhado com OAuth, e foi planejado para uso do Open Banking, que rapidamente estendeu para outras áreas que necessitam assim como o open banking de alto nível de segurança.
Sendo assim, é uma alternativa para o compatilhamento de dados, sendo segura para a gestão de consentimento do setor financeiro.
Entretanto, o modelo pode gerar vulnerabilidade na segurança, e para lidar com a fragilidade e insugurança de captura e armazenamento de dados, o portal da OpenID https://openid.net/wg/fapi/ informa que deve-se utilizar um modelo de API com dados estruturados e um modelo de token como o OAuth.
Este grupo de trabalho visa corrigir a situação desenvolvendo um modelo REST / JSON protegido por OAuth. Especificamente, o FAPI WG visa fornecer esquemas de dados JSON, recomendações e protocolos de segurança e privacidade para:
Devem ser consideradas contas de banco comercial e de investimento, bem como contas de seguros e de cartão de crédito.
Os principais benefícios do Financial-grade API são:
As especificaçõessão claras de ponto a ponto, para que os desenvolvedores possam utilizá-la como uma “lista de verificação”;
Requer uma série de testes que tem como objetivo garantir que o software seja seguro epossua interoperabilidade;
Padrões definidos paraproteger interações complexas (por exemplo, fluxos AuthZ desacoplados via CIBA e gestão de consentimento).
fontes:
A OpenID Foundation é uma organização internacional de padronização sem fins lucrativos de indivíduos e empresas comprometidos em habilitar, promover e proteger as tecnologias OpenID.
OpenID Connect 2.0 é um protocolo de autenticação interoperável baseado na família OAuth 2.0 de especificações. Ele usa fluxos de mensagens REST / JSON simplificados. O OpenID Connect 2.0 permite que os desenvolvedores autentiquem usuários em sites e aplicativos sem ter que possuir e gerenciar arquivos de senha.
Para criadores de aplicativos, o OpenID Connect 2.0 permite que JavaScript baseado em navegador e aplicativos móveis nativos iniciem fluxos de entrada e recebam afirmações verificáveis sobre a identidade dos usuários conectados. Em termos simples, é uma resposta a “Qual é a identidade da pessoa que usa atualmente o navegador ou aplicativo nativo que está conectado?”.
OAuth 2.0 é uma estrutura de autorização que permite que um aplicativo de terceiros obtenha acesso limitado a um serviço HTTP, seja em nome de um proprietário de recurso orquestrando uma interação de aprovação entre o proprietário do recurso e o serviço HTTP ou permitindo que o terceiro aplicativo para obter acesso em seu próprio nome.
As especificações OAuth 2.0 são projetadas para oferecer suporte ao desenvolvimento de protocolos de autenticação e autorização. Ele fornece uma variedade de fluxos de mensagens padronizados baseados em JSON e HTTP; OpenID Connect os usa para fornecer serviços de identidade.
fontes:
O módulo da Plataforma Crystal AMC, tem a missão de atender a LGPD (Lei Geral de Proteção de Dados) e aos requisitos do Bacen na Gestão de Consentimento do Open Banking.
Ligado ao Authorization Server (OpenID) da C&M Software e a uma API de autenticação da instituição, será informado quais usuários consentiram ou revogaram seu consentimento, apresentando uma auditoria sobre estes eventos. Garantindo que a pessoa que está autorizando o uso dos dados é realmente o titular dessas informações.
A Gestão de Consentimento permite identificar de forma detalha o dado (o que?) o usuário consentiu, (quando) o usuário consentiu e (revogado) quando o usuário revogou o consentimento.
Conheça o Crystal AMC, a plaforma para as instituições participantes integrar-se ao Open Banking.