Retirada das versões antigas das APIs de ambiente produtivo e do cadastro no diretório

item 2.2 - VI

Controle de versão

Versão

Data

Resumo das alterações

1

May 17, 2024

Versão inicial

Introdução e Objetivos

Esta métrica tem como foco garantir a conformidade das instituições participantes do Open Finance com o cronograma estipulado para a retirada de versões antigas das APIs de ambiente produtivo e do cadastro no diretório. O propósito é assegurar uma transição ordenada para as novas versões das APIs, eliminando potenciais riscos associados à manutenção de versões descontinuadas, conforme definido pela regulamentação ou pela Estrutura Responsável pela Governança do Open Finance.

Sobre a Métrica

A métrica abrange a verificação das APIs e suas versões antigas registradas tanto no Diretório quanto no ambiente produtivo. Ela é medida conforme o cronograma estabelecido para o período de convivência das versões, assegurando que, ao término deste período, nenhuma API que tenha atingido o estado de descontinuada (retired) permaneça disponível ou acessível.

Metodologia Simplificada

  • Verificação de conformidade: A métrica se baseia na verificação do Diretório e do ambiente produtivo para identificar a presença de versões antigas das APIs que deveriam ter sido retiradas, conforme o cronograma de descontinuação.

  • Período de convivência: Refere-se ao intervalo de tempo estabelecido que permite a coexistência das versões antigas e novas das APIs antes da retirada completa das versões anteriores.

  • Detecção de desconformidade: A desconformidade é identificada quando, após o término do período de convivência, versões descontinuadas das APIs permanecem ativas no Diretório ou no ambiente produtivo.

Interpretação dos Resultados

A interpretação dos resultados visa identificar as instituições que não cumpriram com o cronograma de retirada de versões antigas das APIs, mantendo-as ativas além do período de convivência estipulado. Um exemplo prático seria a API Consents na versão 2.1.0, que se encontrada ativa no Diretório e/ou ambiente produtivo após seu estado de descontinuação, indicaria uma desconformidade com os requisitos estabelecidos.

Para a análise de desconformidade no que tange às APIs listadas no Diretório de participantes, caso uma API que tenha alcançado o estado de descontinuação (retired) seja identificada, como por exemplo, em 16/05/2024, é indicativo de uma desconformidade. Contudo, se a API permanecer cadastrada até 20/05/2024, não serão registradas novas desconformidades durante esse intervalo. No entanto, em um cenário hipotético, se a API for removida em 21/05/2024 e recadastrada em 22/05/2024, uma nova desconformidade será identificada. Isso se deve ao fato de que o período de apuração para a detecção de desconformidades é definido no momento de sua identificação, conforme orientações do Manual de Monitoramento do Open Finance.

Em relação ao monitoramento em ambiente produtivo, a desconformidade é estabelecida por meio de monitoramento sintético das interações com as APIs das instituições participantes. Uma desconformidade é reconhecida quando um endpoint, previamente determinado para descontinuação, é acionado após o término do período de convivência, acrescido de 2 dias ou mais, resultando em um status da solução de monitoramento sintético igual a 'SUCCESS' na resposta da chamada. Esse cenário ratifica que a instituição não cumpriu com os requisitos de descontinuação da API em questão.

Dados e Fontes

A coleta de dados para esta métrica é realizada por meio de uma abordagem integrada que envolve várias fontes e ferramentas especializadas, garantindo uma avaliação abrangente e precisa das APIs no ecossistema do Open Finance.

As informações iniciais são extraídas do Diretório, que cataloga todas as instituições participantes e detalha as APIs disponibilizadas por cada uma, incluindo suas versões. Utilizando o Dynatrace, uma solução de monitoramento sintético, são realizadas chamadas às APIs das instituições participantes em ambiente produtivo. Os dados coletados pelo monitoramento sintético são persistidos na PAD, um repositório analítico que serve como o principal ponto de análise e avaliação da métrica. O GDC complementa as informações disponíveis na PAD, consolidando detalhes adicionais sobre todas as versões das APIs mantidas pela Estrutura de Governança do Open Finance, incluindo endpoints, famílias de APIs, versões e as respectivas datas de início e término de vigência. Essas informações são mantidas e atualizadas pelos grupos de produtos responsáveis.

A combinação dessas fontes de dados — Diretório de Participantes, monitoramento sintético, dados consolidados na PAD e informações do GDC, cria um ecossistema de informações, permitindo avaliação da métrica e monitoramento efetivo das APIs no contexto do Open Finance.

Limitações e Considerações

O processo de monitoramento das APIs das em ambiente produtivo, enfrenta desafios significativos relacionados à identificação precisa das versões das APIs em produção. Isso ocorre devido à estruturação das URLs que, frequentemente, não incluem a identificação de versões minor. Por exemplo, uma URL típica (https://<host>/open-banking/consents/v2/consents) não detalha a versão minor, apenas o identificador da versão major (v2).

Considere o seguinte cenário para ilustrar essa limitação:

image-20240517-101246.png

No exemplo anterior, a identificação precisa da versão minor não é possível devido à estrutura da URL. Neste contexto, a instituição poderia ser classificada como conforme no que diz respeito ao ambiente produtivo, ainda que haja uma desconformidade real devido à presença de uma versão descontinuada em operação.

Responsável pela Aprovação

Squad Sandbox