Versões comparadas

Versão antiga 2

changes.mady.by.user Marcelo Luppi

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Marcelo Luppi

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Introdução

Esta página tem como objetivo principal dar as diretrizes gerais às instituições sobre como funcionam os processos de certificação de segurança e funcional. É recomendado, após a leitura desta página, um estudo mais aprofundado do Guia de Certificação de Conformidade, contendo informações mais detalhadas e específicas para a execução dos testes e obtenção das certificações. Vale ressaltar que o Guia de Certificação está em contínuo processo de atualização, sendo passível de sofrer alterações. Qualquer dúvida em relação ao processo, fique à vontade para a submissão de tickets através do Service Desk.

...

A certificação de Conformidade Funcional é um mecanismo necessário para garantia de desenvolvimento adequado das APIs por parte dos participantes. Com a obrigação de sucesso completo nos testes do motor de conformidade, essa ferramenta acaba sendo vital para garantia da interoperabilidade e saúde do ecossistema. Vale reforçar que há a obrigatoriedade das instituições implementarem em produção as soluções técnicas testadas e certificadas em sandbox. No caso de atualização da implementação, a instituição deverá solicitar uma nova certificação para garantir a adesão aos padrões do Open Finance.

O período entre o lançamento da beta1 das especificações de um produto do Open Finance e a entrada em produção (go live) é dividido entre o período de maturidade e o período de certificação. Durante o período de maturidade, é esperado que as instituições desenvolvam suas APIs e executem os testes disponíveis com objetivo de garantir a maturidade das especificações, dos testes e das implementações das instituições, visando a interoperabilidade em produção. Sendo assim, para cada lançamento são estabelecidos “marcos de sucesso” que as instituições precisam cumprir em cada data, que vinculam uma quantidade de testes que a instituição precisa obter sucesso como evidência de seu desenvolvimento. É importante ressaltar que este resultado deve ser atingido no motor de conformidade funcional hospedado pelo Open Finance Brasil, logo testes executados localmente não são válidos para pedido de certificação.

Utilizando-se do motor de conformidade funcional, o participante deverá atingir a marca de 100% de sucesso nos testes na sua versão final antes do pedido de certificação. Com esta marca de sucesso, o participante deve então seguir o fluxo de certificação, que possui quatro tipos.

Tipos de certificação funcional

  1. Certificação completa

Essa é a certificação padrão do Open Finance. Nesse modelo, o pedido de certificação deverá ser submetido através de um ticket no service desk na categoria (XPTO), anexando os resultados públicos dos testes (um exemplo pode ser acessado em: https://web.conformance.directory.openbankingbrasil.org.br/log- detail.html?log=yxaJTHHQjF4to64&public=true), que será processado pela Estrutura. Após a aprovação, será gerado um link com os documentos utilizados na certificação. Este é o link que deverá ser incluído no Diretório no momento da publicação/atualização dos endpoints das APIs no ambiente de produção do Open Finance Brasil.

O processamento dos pedidos de certificação possui uma automação, portanto, caso tenha alguma dúvida do resultado nós recomendamos a abertura de um novo ticket.

O Guia de submissão de pedidos de certificação (em inglês) está disponível nesse link e o Guia do Diretório, com orientações para a publicação, está disponível nesse link.

  1. Certificação simplificada

Esse modelo de certificação costuma ser adotado para mudanças minor nas APIs e, quando for aplicável, essa informação será comunicada para as instituições com antecedência.

Nesse caso, após a instituição passar em 100% dos testes, ela já poderá atualizar o seu ambiente produtivo, desde que respeitando a data de go live. Reforçamos que os testes com sucesso devem estar na sua última versão e os resultados devem estar públicos, conforme orientações do item 3.2.3.

Em casos de alteração de comportamentos isolados, que não impactem a estrutura das APIs, a Estrutura poderá exigir apenas a execução de um conjunto específico dos testes.

Para certificação simplificada não é necessário abrir ticket no Service Desk e enviar logs.

 

  1. Certificação automática

Para as APIs de Dados Abertos, a certificação ocorre de maneira automática, ou seja, os testes são executados automaticamente no momento da publicação da API no Diretório de Produção. Caso a API esteja conforme, a publicação será feita com sucesso. Caso algum problema seja encontrado, este será notificado através de uma mensagem de erro no próprio Diretório e a publicação não será efetivada. Portanto, não será necessária a submissão de pedidos de certificação através de tickets no service desk.

Após a publicação da API no Diretório produtivo, há uma automação que reexecuta os testes de Dados Abertos semanalmente, como parte da rotina da FVP. Caso a instituição falhe no teste, o status da certificação mudará de “self-certified” para “warning”. Caso a instituição falhe por mais do que uma semana, o status mudará para “rejected”. Assim que for realizada uma execução com sucesso, o status voltará para “self-certified”.

  1. Não certificação

Para casos em que a atualização da API não exija atualizações técnicas relevantes das instituições (ex: alguma regra se tornará menos restritiva para permitir a entrada de algum participante, mas as instituições que já estão em pleno funcionamento não precisarão fazer ajustes), a Estrutura poderá optar por não exigir nenhuma certificação. Nesse caso, a instituição deverá apenas atualizar a versão da API no Diretório dentro do cronograma acordado.

Caso a instituição tenha dúvidas, comentários, sugestões ou encontre algum bug, um ticket deve ser aberto para a estrutura no Gitlab ou no Service Desk.

...

Seguem alguns links úteis relacionados ao motor de conformidade:

...

Vale ressaltar que, para validar o atendimento dos marcos, alguns filtros podem ser aplicados como a data da última breaking change.

Outras certificações

Além das certificações de segurança e funcional, outras certificações poderão ser exigidas a depender do produto e da solução técnica.

Para a implementação de pagamentos via Jornada Sem Redirecionamento (JSR), é necessário que as instituições detentoras utilizem um servidor FIDO certificado, podendo optar por utilizar um servidor FIDO que já foi certificado (próprio ou de terceiro) ou realizar a certificação do próprio servidor junto à FIDO Alliance, instituição responsável pelo processo e calendário dessa certificação.

Outros Links Úteis

  • Guia de Certificação de Conformidade: Página contendo informações mais detalhadas e específicas para a execução dos testes e obtenção das certificações;

  • Service Desk: Canal para envio de dúvidas das instituições e envio de notificações pela Estrutura;

  • Repositório de Informes: Consolidado dos comunicados enviados ao ecossistema;

  • Canal do Youtube do Open Finance Brasil: Link para o canal do Youtube com workshops de lançamentos das APIs, contendo detalhamentos e explicações sob diferentes pontos de vista, como de produto, técnico, experiência do usuário (UX) e conformidade (testes e certificação).

  • Certificação FIDO: Orientações para obter a certificação FIDO, obrigatória para as detentoras na Jornada sem Redirecionamento.