Glossário: siglas e termos do Open Finance

Um guia técnico para profissionais do setor e consumidores que queiram entender melhor sobre as siglas e termos do Open Finance.

O Open Finance / Open Banking está abrindo oportunidades. Para as empresas, ele contribui com novos modelos de coleta, análise, tratamento e compartilhamento de dados, possibilitando o desenvolvimento de produtos e soluções cada vez mais personalizados. Para os consumidores, ele permite novas formas de pagamento, mais alternativas de crédito e a democratização do sistema financeiro.

Não à toa, cada vez mais pessoas e empresas estão aderindo ao Open Finance. Prova disso é o crescente aumento de chamadas de APIs bem-sucedidas das instituições participantes do Open Finance, que em abril de 2022 registrou mais de 233 milhões de chamadas, enquanto em janeiro o número não chegava a 97 milhões (96.4M).

Com isso, consumidores, empresas e profissionais do setor financeiro provavelmente começaram a se deparar com termos que antes talvez não faziam parte do dia a dia. Afinal, o que é ASPSP, IPOC, JWS, SaaS ou TSP? Nesse guia técnico das siglas e termos do Open Finance, listamos para você algumas das principais terminologias que fazem parte do novo mercado financeiro, aberto. 

Siglas e termos do Open Finance

AA

Abreviatura de Account Aggregation, um sistema que agrega em um único local dados financeiros de origens diferentes. Na prática, é como se você tivesse contas nos bancos X, Y e Z, e pudesse visualizar os dados de todas essas contas em uma única tela, sem precisar migrar de um banco para outro para ver todas as informações. 

AISP

Significa Account Information Service Provider, entidades autorizadas para executar operações de leitura de dados no ambiente do Open Banking. Elas não têm permissão para iniciar pagamentos, como acontece com o PISP.

API

Application  Programming  Interface é um conjunto de instruções de programação que permite a comunicação entre softwares. A partir de APIs é possível criar softwares, aplicativos, programas e plataformas diversas, como os apps desenvolvidos para celulares Android e iPhone (iOS), que são criados a partir de padrões definidos e disponibilizados pelas APIs de cada sistema operacional.

ASPSP

Account Servicing Payment Service Provider são instituições financeiras provedoras de contas de pagamentos, que tradicionalmente são bancos e instituições semelhantes. No Open Banking, os ASPSPs publicam APIs de leitura e gravação de dados. Isso permite que os consumidores compartilhem seus dados de transações de contas com fornecedores terceirizados; por sua vez, fornecedores terceirizados podem iniciar pagamentos em nome dos consumidores.

Bearer Token

É uma maneira simplificada de fazer solicitações de API, uma vez que não exige a assinatura criptográfica de cada solicitação. A desvantagem é que todas as solicitações de API devem ser feitas por meio de uma conexão HTTPS, uma vez que a solicitação contém um token de texto simples que pode ser usado por qualquer pessoa se for interceptado.

CIBA

É a sigla para Client Initiated Backchannel Authentication, uma especificação da FAPI - Financial-grade API. Trata-se de um fluxo de autenticação desacoplado do canal que iniciou o fluxo. Exemplo: um pedido para que a Alexa realize uma compra, no qual o usuário receberá um push no aplicativo do banco para autorizar a compra. A CIBA possui diversas formas de identificar o usuário “destino”, como Tokens, email, telefone, número de conta, etc.

Claims

Autorização baseada em declarações. Em JWT, elas ficam alojadas nos payloads e possuem dois tipos: reservados e customizados. A lista dos reservados pode ser encontrada aqui. 

Customer Experience (CX)

Experiência do consumidor. É definido pelas interações que ocorrem entre um cliente e uma empresa ao longo de sua relação comercial, incluindo os estágios de pré-compra, consumo e pós-compra.

Customer Success

Significa garantir a melhor experiência possível para os clientes através da geração de valor.  Surgiu com as empresas SaaS - Software as a Service - como uma estratégia para manter seus clientes por mais tempo em suas plataformas.

DEPA

Abreviatura de Data Empowerment and Protection Architecture. Trata-se de uma camada de consentimento de acesso dentro do padrão indiano do Open Banking. Com ela, usuários conseguem delegar acesso a seus dados de um service provider para outros.

Directory Sandbox

Trata-se de um diretório para testes do Open Banking. É usado para dar suporte a aplicativos em testes de APIs e/ou integrações com o diretório do Open Banking.  

EBA RTS

Sigla para European Banking Authority Regulatory Technical Standards, responsável pelo desenvolvimento das normas técnicas regulamentares que são submetidas à Comissão Europeia para aprovação. Essas normas são um conjunto de critérios de conformidade que abrangem áreas como segurança de dados, responsabilidade legal e outros processos.

ERP

É a sigla para Enterprise Resource Planning, que pode ser traduzido em português para Planejamento dos Recursos da Empresa. Dentro de uma organização, o ERP é um Sistema de Gestão Empresarial que auxilia nos processos internos, automatizando operações manuais e transformando-as em processos de software.

FAPI

Significa Financial-grade API, um padrão para autenticação em sistemas financeiros. Ela adiciona obrigatoriedade de camadas a mais de segurança, como o Mutual TLS e o PKCE, para corrigir possíveis falhas do OAuth2.

FCA

Financial Conduct Authority é um órgão regulador das empresas de serviços financeiros do Reino Unido.

GDPR

Sigla para General Data Protection Regulation, um regulamento pelo qual o Parlamento Europeu, o Conselho Europeu e a Comissão Europeia pretendem fortalecer e unificar a proteção de dados para pessoas da União Europeia (UE).

IETF

Internet Engineering Task Force é uma organização de padrões abertos, que desenvolve e promove padrões técnicos e protocolos da internet.

IPOC

Significa Identificador Padronizado da Operação de Crédito, atribuído a todas as operações de crédito informadas ao SCR. É formado pela concatenação das seguintes informações: CNPJ da instituição; Modalidade da operação; Tipo do cliente; Código do cliente; e Código do contrato. 

ITP

Iniciador de Transação de Pagamento é o que possibilita, por exemplo, que o WhatsApp consiga acessar sua conta bancária - mediante a sua autorização - e intermediar um pagamento ou transferência sem que você tenha que entrar no aplicativo do seu banco. Clique aqui para saber mais. 

JARM

Vem de JWT Secured Authorization Response Model, que está relacionado ao OAuth2. É uma padronização do conteúdo do payload de um JWT e das respostas da API de autorização, cujo objetivo é obter compliance com o modelo FAPI.

JWT

Sigla para JSON Web Token, um padrão (RFC-7519) de mercado que define como transmitir e armazenar objetos JSON de forma compacta e segura entre diferentes aplicações. Os dados nele contidos podem ser validados a qualquer momento pois o token é assinado digitalmente. Ou seja, é usado para autenticação remota entre duas partes.

JWS

Sigla para JSON Web Signature. É uma forma de garantir a integridade das informações em um formato padrão proposto pela IETF. 

LoA

Level of Assurance é o nível de garantia e de riscos associados à autenticação incorreta. Ele é definido pela ISO 29115. São 4 níveis, no qual o primeiro é o de menor risco e menor garantia e o quarto nível é o de maior risco e maior garantia.

Mutual TLS (mTLS)

É um método para autenticação mútua  que garante que as partes em cada extremidade de uma conexão de rede sejam quem afirmam ser, verificando se ambas têm a chave privada correta. É frequentemente usado em estruturas de segurança para verificar usuários, dispositivos e servidores dentro de uma organização. E também pode ajudar a manter as APIs seguras.

OAuth2

É um protocolo de autorização que permite que uma aplicação se autentique em outra. Simplificando, OAuth2 é quando clicamos no botão "Logar com a conta do Google" ou "Logar com a conta do Facebook" para entrar em algum outro site ou plataforma.

Open API

Uma API aberta ou API pública é uma interface de programação de aplicativos (API - Application  Programming  Interface) disponível publicamente e gratuita, que fornece aos desenvolvedores acesso a algum software. 

Open Banking

É um conjunto de regras e tecnologias que permite o compartilhamento de dados e serviços de clientes entre instituições financeiras por meio da integração de seus sistemas. 

Open Data

É a ideia de que alguns dados devem estar disponíveis gratuitamente para todos usarem e redistribuir como quiserem, sem restrições de direitos autorais, patentes ou outros mecanismos de controle.

Open Finance

Segue a mesma premissa de compartilhamento de dados do Open Banking, mas engloba não apenas bancos e fintechs, como também diversas outras empresas do setor financeiro. 

Open ID

Permite a autenticação de usuários em sites a partir de um serviço de provedor de identidade de terceiros, eliminando a necessidade de webmasters fornecerem seus próprios sistemas de login ad hoc e permitindo que os usuários façam login em vários sites não relacionados sem precisar ter uma identidade e senha individuais para cada um deles. 

Open Insurance

Se de um lado o Open Banking, fiscalizado pelo Banco Central, diz respeito às informações financeiras e bancárias, o Open Insurance abrange dados de seguros e previdência. Assim, a ideia é promover um mercado de seguros aberto, no qual haja troca de informações entre seguradoras e outros participantes do setor.

Open Investment

Consta no escopo da Fase 4 de implementação do Open Banking, quando amplia-se o sistema de abertura de dados para a área de investimentos. 

ORGANS

Acrônimo para o conjunto de princípios em consentimento de dados formado pelas primeiras letras de Open, Revocable, Granular, Auditable, Notice e Structured.

Phantom Token

Uma forma de ocultar para clientes externos o conteúdo dos tokens JWT. Um novo token é criado e colocado numa lista "de-para", onde o “de” é o token randômico e o “para” é o JWT. Assim, apenas o token randômico é fornecido para o cliente final, tornando impossível qualquer análise e/ou modificação no conteúdo do pacote (header+payload+signature) JWT pelo cliente externo.

PI / IP

Payment Institution ou simplesmente Instituições de Pagamento,   

são empresas que fornecem, prioritariamente, serviços de pagamento, mas também podem exercer outras atividades econômicas.

PISP

Payment Initiation Service Provider são entidades autorizadas para executar operações de leitura e iniciação de pagamento. Em suma, fornecem um serviço online para iniciar pagamentos a um provedor X sem sair do ambiente do provedor Y. 

PKCE

Significa Proof Key for Code Exchange, uma chave que garante que o token não seja reutilizado por alguém que não seja o partner originador. Funciona assim: 

1. O partner tem um identificador único previamente cadastrado junto ao service provider (cliend id); 
2. O partner gera um segredo randômico (secret_key), e cria uma hashtag desse segredo; 
3. O partner adiciona essa hashtag à URL de autenticação do service provider e envia para o end-user navegar;
4. O service provider memoriza a hashtag;
5. O end-user coloca suas credenciais e faz a autenticação; 
6. O service provider cria um token, acrescenta-o na URL de callback do partner e coloca para o end-user navegar;
7. O partner recebe o token e, agora, munido de seu identificador único de partner (cliend_id) + o segredo randômico (secret_key) + token obtido, o partner chama a API de autenticação do service provider, obtendo assim um token definitivo para realizar chamadas posteriores.

PPID

Pairwise Pseudonymous Identifier é um método de identificação do conjunto "usuário + aplicação", que aumenta a garantia de privacidade. 

PSD2

É a abreviatura para Payment Services Directive (versão 2), uma diretiva da União Europeia, administrada pela Comissão Europeia (Direção Geral do Mercado Interno) para regular os serviços de pagamento e os prestadores de serviços de pagamento. O objetivo da PSD2 é o de integrar e tornar mais seguro os processos de pagamento, protegendo os consumidores.

PSP

Payment Service Provider é um Provedor de Serviços de Pagamento, ou seja,  uma instituição que executa serviços de pagamento regulamentados, como o Pix e PISP, por exemplo.

PSU

Payment Service User é uma pessoa física ou jurídica que faz uso de um serviço de pagamento, seja como beneficiário, pagador ou ambos.

QSEAL

Sigla para Qualified Cerfiticate for Electronics Seals. É usado para a verificação de identidade e proteção de informações transacionais, como no caso do envio de documentos assinados digitalmente. 

SaaS

Software as a Service é um modelo de licenciamento e entrega de software no qual ele é licenciado por assinatura e hospedado em um sistema central. Também é conhecido como on-demand software. 

Redirect/Callback

No fluxo de autenticação OAuth2, o cliente - em nome do usuário final - envia ao servidor um ID de cliente, com credenciais, escopos e URLs de retorno de chamada, enfim, tudo que o servidor precisa para autenticar adequadamente um cliente. As URLs de callback, também conhecidas como URLs de Redirect, informam ao servidor para onde enviar o usuário com os tokens adequados após a autenticação.

SCA

Sigla para Strong Customer Authentication, um requisito da Diretiva Revisada da União Europeia sobre Serviços de Pagamento (PSD2) para provedores de serviços de pagamento no Espaço Econômico Europeu (EEU). O requisito garante que os pagamentos eletrônicos sejam realizados com autenticação multifator, para aumentar a segurança dos pagamentos eletrônicos.

SCR

É o Sistema de Informações de Crédito do Banco Central. Trata-se de um instrumento de registro e consulta de informações sobre as operações de crédito, como empréstimos, financiamentos, avais ou finanças, realizadas entre as instituições financeiras e seus clientes.

TPP

Third Party Providers são organizações ou pessoas físicas que usam APIs para acessar contas de clientes, com o objetivo de fornecer serviços de informações de contas e/ou iniciar pagamentos.

TSP

Technical Service Providers são empresas que trabalham com provedores regulados para fornecer produtos ou serviços de Open Banking. 

VRPs

Sigla para Variable Recurring Payments (Pagamentos Recorrentes Variáveis). É uma possibilidade do Open Finance que permite aos clientes conectarem provedores de pagamentos autorizados à suas contas bancárias para o pagamento de contas variáveis, como luz e gás, por exemplo.