1. Quais certificações uma instituição precisa para entrar em produção?
Detentoras e transmissores de dados é necessário certificação funcional e de segurança, iniciadoras e receptoras é necessária certificação de segurança. Maiores informações sobre as certificações obrigatórias para cada modalidade estão disponíveis no documento “Orientações para certificação”, disponível em no link conforme item 21 desta FAQ.
2. Quando eu preciso obter as certificações funcionais e de segurança?
Novos entrantes:
Para entrada em produção de todas as APIs.
Certificações funcionais e de segurança: Devem seguir as datas de acordo com sua participação no arranjo ou de adesão ao compartilhamento de dados. Por exemplo, uma instituição que entre em operação restrita no Pix, possui 10 dias para entrar em produção pelo Open Finance, já com todas as certificações necessárias.
Participantes atuais:
Certificações funcionais: Devem seguir as datas de go live do versionamento das APIs.
Certificações de segurança: Via de regra, a certificação terá duração de 12 meses. As instruções e exceções estão disponíveis na política de renovação, conforme item 18 desta FAQ.
3. O que é a OIDF?
OpenID Foundation é uma organização sem fins lucrativos que promove tecnologias OpenID. No Open Finance, eles são os fornecedores das certificações de segurança.
4. O que é OP e RP, que aparecem nos nomes das certificações de segurança?
OP: OpenID Providers (detentoras e transmissoras)
RP: Relying Parties (receptoras e iniciadoras)
5. O que é CIBA e qual a exigência?
CIBA significa Client Initiated Backchannel Authentication.
A oferta de CIBA é opcional, porém, para todas as instituições que desejem disponibilizar essa modalidade, a certificação de CIBA da OIDF será obrigatória.
6. O que é a FVP e como ela funciona?
FVP significa Ferramenta de Validação em Produção. É uma ferramenta desenvolvida pelo ecossistema que executa parte dos testes de segurança e funcionais em ambiente produtivo.
A ferramenta busca averiguar se o comportamento das instituições se mantém consistente com as certificações e se os cadastros em produção estão feitos da maneira correta.
Maiores informações estão disponíveis em: https://gitlab.com/obb1/certification/-/wikis/Automated-Production-Tests
7. As variações DCR e FAPI
...
OP estão incluídas na taxa que cada instituição vai pagar para
...
a certificação FAPI ?
FAPI R/WOP, DCR e suas variações (private key e MTLS, com ou sem JARM) estarão inclusos na taxa de certificação paga pela instituição, desde que as submissões sejam feitas juntas.
FAPI-CIBA não está contemplada na certificação e RP, não estão contempladas nas certificações acima, devendo pagar uma taxa adicional de certificação.ser pagas taxas adicionais para cada uma dessas certificações.
8. Posso certificar diversos
...
authorisation servers com uma única certificação?
Pela política do Open Finance Brasil, a certificação deverá ser realizada em todas as implementações únicas, devendo a IF instituição garantir mesma tecnologia e configuração para todos os authorization authorisation servers contemplados.
Conforme orientação da OIDF, entende-se por implementação única: “cada issuer presente no endpoint well-know do authorization authorisation server". Dessa forma, a certificação deveria ser realizada ao nível do issuer no authorization authorisation server, logo múltiplos servidores de autorização que compartilhem o mesmo issuer poderiam estar englobados num só certificado.numa só certificação.
9. Para diferentes marcas, posso realizar uma única certificação funcional para a mesma API?
Pela política do Open Finance a certificação deverá ser realizada em todas as implementações únicas, devendo a instituição garantir mesma tecnologia e configuração para a API certificada.
A única hipótese de se utilizar a mesma certificação funcional para mais de uma marca, é no caso destas marcas compartilharem a mesma infraestrutura.
10. Utilizo um provedor terceiro que já
...
possui certificação funcional e/ou de segurança, preciso me “recertificar”?
A certificação deverá ser realizada ao nível do conglomerado prudencial, confederação ou instituição financeira, sendo obrigatória a certificação independente da utilização de um provedor externo certificadoque já possua certificação.
11. É necessário se certificar
...
na plataforma da OIDF para utilizar o motor
...
de conformidade funcional?
Para utilização do motor DraftOFB é recomendado que a instituição tenha A instituição precisará ter passado com sucesso no teste de segurança, pois o mesmo utiliza os testes do motor de segurança OIDF para fazer o teste funcional, dessa forma não é necessária a certificação para utilização do motor conformidade funcional DraftOFB. Porém, para publicação das APIs da instituição em ambiente produtivo é necessário que a mesma possua as certificações de segurança e funcional.
Se eu vou entrar em um momento futuro, vou precisar realizar a certificação agora na Fase 2?
A certificação de segurança e funcional é mandatória para participantes obrigatórios e para as instituições voluntárias que sinalizaram sua participação na Fase 2.
Para as instituições que vão se voluntariar após go-live da Fase 2, a certificação deverá ser realizada antes da sua entrada em produção. Dessa forma, instituições que entrarão apenas na Fase 3 não precisarão se certificar até o dia 15/07/2021.
O Open Finance Brasil irá intermediar o pagamento de todas as certificações FAPI R/W para as IFs?
Em função do curto prazo, o primeiro ciclo de certificação está sendo realizado de forma centralizada pela estrutura inicial do Open Finance Brasil.
Para as certificações após o dia 15/07 não está prevista a facilitação do pagamento pela estrutura inicial.
O teste funcional poderá ser realizado sem a parte de segurança após o dia 18/06?
Não será possível testar as APIs funcionais usando o motor de conformidade centralizado sem a parte de segurança.
Os bancos poderão optar por descarregar e executar o aplicativo localmente, desabilitando todas as etapas de consentimento e segurança, podendo testar a parte funcional sem o perfil FAPI.
Quando será possível realizar o teste do DCR?
A publicação do teste do DCR deverá seguir o mesmo cronograma do teste FAPI R/W – Brasil.
Receptoras de dados também precisam realizar certificação?
As receptoras inicialmente não precisarão realizar nenhum tipo de certificação.
Apesar de não ser obrigatório o teste de certificação para receptoras (No site da OIDF chamadas de Relying Parties) também será disponibilizado pela OIDF em uma data a ser definida.
Quando será disponibilizada a ferramenta de certificação do perfil de segurança (FAPI - R/W)?
A ferramenta de certificação do perfil FAPI - Brasil será disponibilizada em formato beta no dia 11/06/2021.
A ferramenta final do motor conformidade segurança OIDF será disponibilizada no dia 28/06/2021.
Quando será disponibilizada a ferramenta de certificação do perfil funcional?
A ferramenta de certificação funcional será disponibilizada em formato beta no dia 11/06/2021.
A ferramenta final será disponibilizada no dia 05/07/2021.
executar o motor de conformidade funcional.
12. Como é feito o pagamento das certificações OIDF pelas instituições?
O pagamento deve ser realizado de acordo com orientações do Guia de Certificação, disponível no link conforme item 22 desta FAQ.
13. Instituições poderão aderir à OIDF como membro e pagar a taxa reduzida na certificação de segurança?
Sim, qualquer instituição que queira e consiga se associar como membro poderá realizar o pagamento da taxa reduzida na certificação de segurança .
Caso a instituição tenha optado pelo pagamento intermediado através da e consiga se filiar até o dia 17/06/2021, ela deverá informar a estrutura inicial para que o seu boleto de cobrança mensal seja recalculado.
O processo de adesão/filiação à OIDF deve ser feito pela instituição, somente o pagamento das taxas de certificação e adesão serão intermediadas pelo secretariado DraftOFB.
Existirá algum custo para a realização da certificação funcional?
O assunto ainda está em discussão, porém até o momento não estão previstos custos para a de acordo com as políticas da OIDF.
Além disso, há condições especiais para renovações de certificações FAPI-OP e DCR com valor reduzido para solicitações feitas com antecedência. Maiores detalhes estão disponíveis no Guia de Certificação, disponível no link conforme item 22 desta FAQ.
14. Existirá algum custo para realização da certificação funcional?
Não há custos para realização da certificação funcional.
15. Qual o ambiente deve ser utilizado para certificação?
Tanto o ambiente de produção quanto o pré-produtivo podem ser utilizados para certificação.
Se for utilizado o ambiente pré-produtivo, será referenciado no certificado que foi utilizado esse ambiente. Se for utilizado o ambiente de produção, também será referenciado no certificado.
Se eu não conseguir me certificar até o dia 15/07 qual será a penalidade?
A data 15/07 foi definida pela Resolução Conjunta publicada pelo Banco Central, sendo que quaisquer atrasos deverão ser tratados diretamente com o regulador.
Se eu não conseguir me certificar a tempo e tiver realizado o pagamento ficarei com o crédito junto à OIDF?
Sim, não existe vencimento em relação ao pedido de certificação.
...
Para qualquer certificação, deve ser utilizado o ambiente de testes da instituição e do Diretório (sandbox).
Validações em ambiente produtivo são realizados pela Ferramenta de Validação em Produção (FVP).
16. Como acesso o Sandbox do diretório de participantes?
O acesso pode ser realizado pelos administradores da instituição no Sandbox do diretório de participantes: ambiente de sandbox do Diretório de Participantes. https://web.sandbox.directory.openbankingbrasil.org.br/
Os ambientes de produção e de sandbox do Diretório são desvinculados e ser administrador em um não confere poder de administrador no outro.
A adição de administradores pode ser realizada pelo administrador registrado como iniciador de cadastro.O por qualquer administrador atual da instituição em sandbox, seguindo o passo a passo para cadastro no diretório para os administradores registrados , que pode ser encontrado em: Guia de Operação do Diretório Central
...
17. Como acesso o motor de conformidade segurança da OIDF?
O acesso à a plataforma da OIDF é livre para todo o público.
O motor Motor de conformidade de segurança , quando finalizado, será disponibilizado está disponível em: https://www.certification.openid.net/
O motor, hoje, já pode ser utilizado para testagem do perfil Plain FAPI. Mais detalhes podem ser encontrados em:
https://openbanking-brasil.github.io/areadesenvolvedor/#como-utilizar-a- ferramenta-da-openid-foundation-para-testes-fapi-r-w-plain-fapi
...
18. Como acesso o motor de conformidade funcional do Open Finance Brasil?
O acesso à plataforma do DraftOFB Acesso ao motor de conformidade funcional só poderá ser realizado pelos contatos técnicos e administradores das instituições cadastrados no diretório de participantes de sandbox.
O motor Motor de conformidade funcional, quando finalizado, será disponibilizado em está disponível em: https://web.conformance.directory.openbankingbrasil.org.br
Quem for entrar na fase 2 após o dia 15/07 (opcionais), deve seguir os mesmos períodos de quem entrar no dia 15/07?
Instituições que se voluntariarem para participar como transmissoras de dados após 15/07 não precisarão se certificar até o dia 15/07.
A entrada tardia não isenta a necessidade da instituição se certificar antes da entrada em produção.
...
19. Qual o critério para uma
...
instituição fazer
...
a certificação novamente? Depois de
...
uma major/minor/periodicidade trimestral?
Para os testes funcionais do DraftOFB:
A recertificação deve ser realizada junto com o release de novas versões majors ou após o vencimento do certificado emitido;
A validade do certificado funcional emitido para o mês de julho terá prazo de 120 dias;
Importante ressaltar que se forem incluídos novos produtos pela IF as suas APIs antes não declaradas deverão ser certificadas.
Para os testes FAPI da OIDF:
A recertificação deverá ser realizada sempre que houver mudanças significativas nas especificações - critérios serão determinados pela estrutura. Será de responsabilidade da IF utilizar a ferramenta da OIDF e se recertificar quando for notificado pelo ecossistema que uma nova versão FAPI será adotada pelo ecossistema.
Quando existirem mudanças na arquitetura da solução existentes também será necessária a recertificação, sendo responsabilidade da IF identificar essa necessidade.
Possíveis critérios: mudanças significativas nas infraestruturas dos participantes, mudanças nas versões da FAPI.
Os critérios de expiração de certificação funcional e de segurança estão explicados no Guia de Certificação.
20. Será possível integrar os testes funcionais e de segurança com o
...
pipeline de DevOps das instituições?
Os testes funcionais e de segurança são fornecidos em formato de código aberto, podendo a instituição implementar esses testes no ambiente da instituição. Vale notar que não está previsto suporte para que seja realizada essa integração e que, para fins de certificação, deverão ser utilizados logs de testes realizados no próprio motor de conformidade (versão web).
21. Uma
...
instituição pode fazer testes usando
...
endpoints públicos de outra
...
instituição?
Testes entre instituições não é estão no escopo da plataforma de certificação. As , mas as instituições podem combinar testes de integração entre elas.
Caso um TPP possa transmitir dados capturados de outra empresa, o TPP precisaria ter um Authorization Server e, consequentemente, uma certificação do OpenID (FAPI/CIBA)?
Caso a instituição seja uma transmissora de dados no escopo do Open Finance, será demandada a certificação FAPI, bem como as certificações funcionais.
si no ambiente de sandbox.
22. Onde posso encontrar o documento “Orientações para certificação”?
O documento está disponível em: Orientações para Certificação
23. Como posso acessar o Guia de Conformidade?
O Guia de Conformidade está disponível em: https://openfinancebrasil.atlassian.net/wiki/download/attachments/17378905/20220912_OpenFinance-Guia_Motor_De_Conformidade_V7.pdf?api=v2
24. Em qual versão preciso executar os testes para obter a certificação?
Para obter a certificação, é imprescindível realizar a execução dos testes na última versão estável do motor de conformidade, garantindo que eventuais novos requisitos e padrões necessários estejam sendo atendidos de forma consistente e confiável pelas instituições. A versão estável do motor será comunicada por Informa na abertura da certificação.
25. Como poderei enviar dúvidas adicionais?
Todas as dúvidas deverão ser enviadas para o service desk do Open Finance, acessível através do link:http https://servicedesk.openfinancebrasil.org.br.