26.mai
Open Finance
Glossário: siglas e termos do Open Finance
Time Quanto
Sua porta de entrada para o Open Finance
Um guia técnico para profissionais do setor e consumidores que queiram entender melhor sobre as siglas e termos do Open Finance.
O Open Finance / Open Banking está abrindo oportunidades. Para as empresas, ele contribui com novos modelos de coleta, análise, tratamento e compartilhamento de dados, possibilitando o desenvolvimento de produtos e soluções cada vez mais personalizados. Para os consumidores, ele permite novas formas de pagamento, mais alternativas de crédito e a democratização do sistema financeiro.
Não à toa, cada vez mais pessoas e empresas estão aderindo ao Open Finance. Prova disso é o crescente aumento de chamadas de APIs bem-sucedidas das instituições participantes do Open Finance, que em abril de 2022 registrou mais de 233 milhões de chamadas, enquanto em janeiro o número não chegava a 97 milhões (96.4M).
Com isso, consumidores, empresas e profissionais do setor financeiro provavelmente começaram a se deparar com termos que antes talvez não faziam parte do dia a dia. Afinal, o que é ASPSP, IPOC, JWS, SaaS ou TSP? Nesse guia técnico das siglas e termos do Open Finance, listamos para você algumas das principais terminologias que fazem parte do novo mercado financeiro, aberto.
Siglas e termos do Open Finance
AA
Abreviatura de Account Aggregation, um sistema que agrega em um único local dados financeiros de origens diferentes. Na prática, é como se você tivesse contas nos bancos X, Y e Z, e pudesse visualizar os dados de todas essas contas em uma única tela, sem precisar migrar de um banco para outro para ver todas as informações.
AISP
Significa Account Information Service Provider, entidades autorizadas para executar operações de leitura de dados no ambiente do Open Banking. Elas não têm permissão para iniciar pagamentos, como acontece com o PISP.
API
Application Programming Interface é um conjunto de instruções de programação que permite a comunicação entre softwares. A partir de APIs é possível criar softwares, aplicativos, programas e plataformas diversas, como os apps desenvolvidos para celulares Android e iPhone (iOS), que são criados a partir de padrões definidos e disponibilizados pelas APIs de cada sistema operacional.
ASPSP
Account Servicing Payment Service Provider são instituições financeiras provedoras de contas de pagamentos, que tradicionalmente são bancos e instituições semelhantes. No Open Banking, os ASPSPs publicam APIs de leitura e gravação de dados. Isso permite que os consumidores compartilhem seus dados de transações de contas com fornecedores terceirizados; por sua vez, fornecedores terceirizados podem iniciar pagamentos em nome dos consumidores.
Bearer Token
É uma maneira simplificada de fazer solicitações de API, uma vez que não exige a assinatura criptográfica de cada solicitação. A desvantagem é que todas as solicitações de API devem ser feitas por meio de uma conexão HTTPS, uma vez que a solicitação contém um token de texto simples que pode ser usado por qualquer pessoa se for interceptado.
CIBA
É a sigla para Client Initiated Backchannel Authentication, uma especificação da FAPI - Financial-grade API. Trata-se de um fluxo de autenticação desacoplado do canal que iniciou o fluxo. Exemplo: um pedido para que a Alexa realize uma compra, no qual o usuário receberá um push no aplicativo do banco para autorizar a compra. A CIBA possui diversas formas de identificar o usuário “destino”, como Tokens, email, telefone, número de conta, etc.
Claims
Autorização baseada em declarações. Em JWT, elas ficam alojadas nos payloads e possuem dois tipos: reservados e customizados. A lista dos reservados pode ser encontrada aqui.
Customer Experience (CX)
Experiência do consumidor. É definido pelas interações que ocorrem entre um cliente e uma empresa ao longo de sua relação comercial, incluindo os estágios de pré-compra, consumo e pós-compra.
Customer Success
Significa garantir a melhor experiência possível para os clientes através da geração de valor. Surgiu com as empresas SaaS - Software as a Service - como uma estratégia para manter seus clientes por mais tempo em suas plataformas.
DEPA
Abreviatura de Data Empowerment and Protection Architecture. Trata-se de uma camada de consentimento de acesso dentro do padrão indiano do Open Banking. Com ela, usuários conseguem delegar acesso a seus dados de um service provider para outros.
Directory Sandbox
Trata-se de um diretório para testes do Open Banking. É usado para dar suporte a aplicativos em testes de APIs e/ou integrações com o diretório do Open Banking.
EBA RTS
Sigla para European Banking Authority Regulatory Technical Standards, responsável pelo desenvolvimento das normas técnicas regulamentares que são submetidas à Comissão Europeia para aprovação. Essas normas são um conjunto de critérios de conformidade que abrangem áreas como segurança de dados, responsabilidade legal e outros processos.
ERP
É a sigla para Enterprise Resource Planning, que pode ser traduzido em português para Planejamento dos Recursos da Empresa. Dentro de uma organização, o ERP é um Sistema de Gestão Empresarial que auxilia nos processos internos, automatizando operações manuais e transformando-as em processos de software.
FAPI
Significa Financial-grade API, um padrão para autenticação em sistemas financeiros. Ela adiciona obrigatoriedade de camadas a mais de segurança, como o Mutual TLS e o PKCE, para corrigir possíveis falhas do OAuth2.
FCA
Financial Conduct Authority é um órgão regulador das empresas de serviços financeiros do Reino Unido.
GDPR
Sigla para General Data Protection Regulation, um regulamento pelo qual o Parlamento Europeu, o Conselho Europeu e a Comissão Europeia pretendem fortalecer e unificar a proteção de dados para pessoas da União Europeia (UE).
IETF
Internet Engineering Task Force é uma organização de padrões abertos, que desenvolve e promove padrões técnicos e protocolos da internet.
IPOC
Significa Identificador Padronizado da Operação de Crédito, atribuído a todas as operações de crédito informadas ao SCR. É formado pela concatenação das seguintes informações: CNPJ da instituição; Modalidade da operação; Tipo do cliente; Código do cliente; e Código do contrato.
ITP
Iniciador de Transação de Pagamento é o que possibilita, por exemplo, que o WhatsApp consiga acessar sua conta bancária - mediante a sua autorização - e intermediar um pagamento ou transferência sem que você tenha que entrar no aplicativo do seu banco. Clique aqui para saber mais.
JARM
Vem de JWT Secured Authorization Response Model, que está relacionado ao OAuth2. É uma padronização do conteúdo do payload de um JWT e das respostas da API de autorização, cujo objetivo é obter compliance com o modelo FAPI.
JWT
Sigla para JSON Web Token, um padrão (RFC-7519) de mercado que define como transmitir e armazenar objetos JSON de forma compacta e segura entre diferentes aplicações. Os dados nele contidos podem ser validados a qualquer momento pois o token é assinado digitalmente. Ou seja, é usado para autenticação remota entre duas partes.
JWS
Sigla para JSON Web Signature. É uma forma de garantir a integridade das informações em um formato padrão proposto pela IETF.
LoA
Level of Assurance é o nível de garantia e de riscos associados à autenticação incorreta. Ele é definido pela ISO 29115. São 4 níveis, no qual o primeiro é o de menor risco e menor garantia e o quarto nível é o de maior risco e maior garantia.
Mutual TLS (mTLS)
É um método para autenticação mútua que garante que as partes em cada extremidade de uma conexão de rede sejam quem afirmam ser, verificando se ambas têm a chave privada correta. É frequentemente usado em estruturas de segurança para verificar usuários, dispositivos e servidores dentro de uma organização. E também pode ajudar a manter as APIs seguras.
OAuth2
É um protocolo de autorização que permite que uma aplicação se autentique em outra. Simplificando, OAuth2 é quando clicamos no botão "Logar com a conta do Google" ou "Logar com a conta do Facebook" para entrar em algum outro site ou plataforma.
Open API
Uma API aberta ou API pública é uma interface de programação de aplicativos (API - Application Programming Interface) disponível publicamente e gratuita, que fornece aos desenvolvedores acesso a algum software.
Open Banking
É um conjunto de regras e tecnologias que permite o compartilhamento de dados e serviços de clientes entre instituições financeiras por meio da integração de seus sistemas.
Open Data
É a ideia de que alguns dados devem estar disponíveis gratuitamente para todos usarem e redistribuir como quiserem, sem restrições de direitos autorais, patentes ou outros mecanismos de controle.
Open Finance
Segue a mesma premissa de compartilhamento de dados do Open Banking, mas engloba não apenas bancos e fintechs, como também diversas outras empresas do setor financeiro.
Open ID
Permite a autenticação de usuários em sites a partir de um serviço de provedor de identidade de terceiros, eliminando a necessidade de webmasters fornecerem seus próprios sistemas de login ad hoc e permitindo que os usuários façam login em vários sites não relacionados sem precisar ter uma identidade e senha individuais para cada um deles.
Open Insurance
Se de um lado o Open Banking, fiscalizado pelo Banco Central, diz respeito às informações financeiras e bancárias, o Open Insurance abrange dados de seguros e previdência. Assim, a ideia é promover um mercado de seguros aberto, no qual haja troca de informações entre seguradoras e outros participantes do setor.
Open Investment
Consta no escopo da Fase 4 de implementação do Open Banking, quando amplia-se o sistema de abertura de dados para a área de investimentos.
ORGANS
Acrônimo para o conjunto de princípios em consentimento de dados formado pelas primeiras letras de Open, Revocable, Granular, Auditable, Notice e Structured.
Phantom Token
Uma forma de ocultar para clientes externos o conteúdo dos tokens JWT. Um novo token é criado e colocado numa lista "de-para", onde o “de” é o token randômico e o “para” é o JWT. Assim, apenas o token randômico é fornecido para o cliente final, tornando impossível qualquer análise e/ou modificação no conteúdo do pacote (header+payload+signature) JWT pelo cliente externo.
PI / IP
Payment Institution ou simplesmente Instituições de Pagamento,
são empresas que fornecem, prioritariamente, serviços de pagamento, mas também podem exercer outras atividades econômicas.
PISP
Payment Initiation Service Provider são entidades autorizadas para executar operações de leitura e iniciação de pagamento. Em suma, fornecem um serviço online para iniciar pagamentos a um provedor X sem sair do ambiente do provedor Y.
PKCE
Significa Proof Key for Code Exchange, uma chave que garante que o token não seja reutilizado por alguém que não seja o partner originador. Funciona assim:
- O partner tem um identificador único previamente cadastrado junto ao service provider (cliend id);
- O partner gera um segredo randômico (secret_key), e cria uma hashtag desse segredo;
- O partner adiciona essa hashtag à URL de autenticação do service provider e envia para o end-user navegar;
- O service provider memoriza a hashtag;
- O end-user coloca suas credenciais e faz a autenticação;
- O service provider cria um token, acrescenta-o na URL de callback do partner e coloca para o end-user navegar;
- O partner recebe o token e, agora, munido de seu identificador único de partner (cliend_id) + o segredo randômico (secret_key) + token obtido, o partner chama a API de autenticação do service provider, obtendo assim um token definitivo para realizar chamadas posteriores.
PPID
Pairwise Pseudonymous Identifier é um método de identificação do conjunto "usuário + aplicação", que aumenta a garantia de privacidade.
PSD2
É a abreviatura para Payment Services Directive (versão 2), uma diretiva da União Europeia, administrada pela Comissão Europeia (Direção Geral do Mercado Interno) para regular os serviços de pagamento e os prestadores de serviços de pagamento. O objetivo da PSD2 é o de integrar e tornar mais seguro os processos de pagamento, protegendo os consumidores.
PSP
Payment Service Provider é um Provedor de Serviços de Pagamento, ou seja, uma instituição que executa serviços de pagamento regulamentados, como o Pix e PISP, por exemplo.
PSU
Payment Service User é uma pessoa física ou jurídica que faz uso de um serviço de pagamento, seja como beneficiário, pagador ou ambos.
QSEAL
Sigla para Qualified Cerfiticate for Electronics Seals. É usado para a verificação de identidade e proteção de informações transacionais, como no caso do envio de documentos assinados digitalmente.
SaaS
Software as a Service é um modelo de licenciamento e entrega de software no qual ele é licenciado por assinatura e hospedado em um sistema central. Também é conhecido como on-demand software.
Redirect/Callback
No fluxo de autenticação OAuth2, o cliente - em nome do usuário final - envia ao servidor um ID de cliente, com credenciais, escopos e URLs de retorno de chamada, enfim, tudo que o servidor precisa para autenticar adequadamente um cliente. As URLs de callback, também conhecidas como URLs de Redirect, informam ao servidor para onde enviar o usuário com os tokens adequados após a autenticação.
SCA
Sigla para Strong Customer Authentication, um requisito da Diretiva Revisada da União Europeia sobre Serviços de Pagamento (PSD2) para provedores de serviços de pagamento no Espaço Econômico Europeu (EEU). O requisito garante que os pagamentos eletrônicos sejam realizados com autenticação multifator, para aumentar a segurança dos pagamentos eletrônicos.
SCR
É o Sistema de Informações de Crédito do Banco Central. Trata-se de um instrumento de registro e consulta de informações sobre as operações de crédito, como empréstimos, financiamentos, avais ou finanças, realizadas entre as instituições financeiras e seus clientes.
TPP
Third Party Providers são organizações ou pessoas físicas que usam APIs para acessar contas de clientes, com o objetivo de fornecer serviços de informações de contas e/ou iniciar pagamentos.
TSP
Technical Service Providers são empresas que trabalham com provedores regulados para fornecer produtos ou serviços de Open Banking.
VRPs
Sigla para Variable Recurring Payments (Pagamentos Recorrentes Variáveis). É uma possibilidade do Open Finance que permite aos clientes conectarem provedores de pagamentos autorizados à suas contas bancárias para o pagamento de contas variáveis, como luz e gás, por exemplo.