Workshop de lançamento do novo perfil FAPI Único

pessoal Bom dia a todos queria agradecer
a presença de todo mundo aqui no nosso
segundo workshop de lançamentos de 2024
então ontem a gente falou de pagamentos
recorrentes e hoje a gente vai falar
sobre o perfil fap único
eh Então queria agradecer para começar
informações gerais esse workshop ele vai
ser gravado e ele vai ser
disponibilizado depois no canal do
YouTube do Open finance vou pedir para
todo mundo ir mandando dúvidas aqui
eh pelo pelo chat mesmo por mensagens a
gente vai ter um momento no final para
responder as dúvidas mas em paralelo a
gente vai tentando responder aqui pelo
próprio chat e caso alguma dúvida não
seja respondida a tempo a gente tá
compilando todas em um em um documento e
depois a gente vai disponibilizar esse
arquivo pro ecossistema com o com o
consolidado e estendendo aqui o convite
pros próximos workshops também então a
gente vai falar sobre transferências
inteligentes que é a V1 da API de
pagamentos automáticos na sexta-feira
também às 10 horas na segunda-feira de
api comum de produtos e serviços e na
terça-feira que vem da pid coment
resources e câmbio Então acho que nos
informes que a gente enviou já tinham
essas outras mas só reforçando aqui a
mensagem
eh pra gente começar hoje eu queria até
aproveitar agradecer e convidar aqui
apresentar o o Ranieri ele é coordenador
do do GT segurança aqui da da estrutura
eh o Paulo Moraes que é o líder de apis
e integração digital do do Open finance
aqui da Diretoria de tecnologia e eu que
sou PM de conformidade aqui da da dto
também da Diretoria de tecnologia Então
a gente vai passar aqui hoje aqui com
vocês com alguns aspectos do novo perfil
fap né primeiro deles é o que que é esse
novo perfil eh e o que que ele tem de
diferenças técnicas do que a gente tem
hoje né Então a gente tem o algumas
altern hoje alguns métodos de
autenticação que são utilizados pelo
ecossistema então tem alternativa com
Private Key com mtls com par e sem par
eh o que que vai acontecer aqui com esse
novo com esse novo perfil como que isso
vai ser testado e certificado e o que
que a gente espera das instituições
Então essa é a agenda de hoje agradeço a
todos novamente e canier fica à vontade
para
começar por
favor vamos lá Bom dia pessoal bom dia a
todos aí que estão presentes
eh já iniciando aqui pelo o que é esse
novo perfil fap que a que a FAB
introduziu ali né acho que é de
conhecimento da maioria que quando o os
perfis de segurança do Open finance
foram definidos deixou-se ali aberto um
leque de possibilidades para que as
detentoras pudessem escolher o perfil
que iria implementar então Eh no open
finance Brasil ali a gente tem se eu não
me engano seis perfis né Eh atualmente
mais o perfil de DCR então você poderia
usar mtls mtls com par mtls com par jarm
eh Private Key Private Key comp par
Private Key comp par jarm e fazendo as
combinações Daria até oito perfis ali né
ã isso já é bastante distinto do que é
aplicado em outros ecossistemas que tem
um um número reduzido ali de
possibilidades né E se por um lado isso
traz
eh um pouco mais de facilidade para as
detentoras para escolher o perfil que
ela quer
implementar no fundo ali toda a
detentora também acaba sendo um
consumidor E aí na hora de consumir fica
muito mais difícil porque você tem que
estar adequado no consumo a todos
aqueles oito perfis né então isso trazia
uma complexidade muito grande quando a
gente fala falava dos receptores ou dos
iniciadores de pagamento tá
eh e aí começou-se uma uma ideia de
simplificação então Eh inicialmente veio
essa demanda do Banco Central sobre eh
Esse estudo que o GT segurança deveria
fazer para eh fazer um perfil único tá E
aí nisso também a gente foi um pouco
distinto dos outros ecossistemas os
outros ecossistemas ali estão permitindo
dois três perfis e a orientação ali
Inicial foi de que a gente tentasse
fazer um perfil único de segurança tá eh
então o GT fez alguns estudos ali sobre
quantidade de instituições que
utilizavam cada perfil e das melhores
práticas de segurança também e Chegamos
no que tá sendo eh chamado por todos aí
eu conhecido como o perfil Private Key
mais par tá
ã um direcionamento também para pra
escolha desse perfil foi a aderência
dele à evolução do fato então no no em
finance Brasil nós estamos sempre
utilizando ali o fap 1.0 tá o fap 2.0 já
está em draft mas ele ainda não é uma
versão final
eh e a gente obviamente não queria ali
adotar um perfil em draft Então a gente
vai se manter no fap 1.0 mas na medida
do possível as escolhas que a gente
Tomou durante o o GT foi sempre pensando
numa facilidade paraa migração pro fap
2.0 quando isso acontecer daqui alguns
anos tá eh então boa parte al das nossas
decisões foram balizadas também vendo o
que o fap 2.0 já tava direcionando como
um padrão para facilitar isso e o
Private compar é algo que tá eh bem
colocado lá também
tá acho que alguém abriu o microfone
aqui dei o aviso
lá
eh e aí terceiro ponto Qual o problema
que ele soluciona aí eu até apontei um
pouco no começo né quando você tá eh
consumindo a as entidades e você tinha
que se adequar a todos os perfis
existentes isso tinha uma grande
complexidade eh porque você tinha que
fazer ali vários vários cãos no seu
código se tal instituição tá usando mtls
eu tenho que fazer tal coisa tal
instituição tá usando Private eu tenho
que fazer outra coisa e também tinha
outras complexidades que não estavam
muito Claras ali que por exemplo
determinada instituição ela ela fez a
certificação na Open ID para um
determinado perfil mas no seu é n ela
declarava um diferente ou dois e ou dois
ali né então você tinha que quase que
fazer na tentativa e erro Então a nossa
ideia foi reduzir essa complexidade eh
diminuindo ali as opções ã para ficar
muito mais fácil principalmente para
para quem consome tá E o que ele
viabiliza é essa facilidade de
implementação e evolução eh do do nosso
ecossistema e futuramente integração com
com outros ecossistemas
tá sobre quem é obrigado a implementar
esse perfil todos os participantes então
exceto os exclusivos de fase um porque
as apis de fase um são as apis Open data
então eh não precisa de autoriz server
não precisa de DCR dcm para consumir
essas apis Então quem é exclusivo de
fase um não precisa implementar porque
ele não tem autoriz server declarado as
demais instituições todas T que fazer
essa adequação tá E aí as datas de
adequação Fabiane vai vai mostrar em um
em um slide posterior Tá bom pode seguir
Fabi aqui sobre as principais eh
escolhas sobre as principais
modificações tá
eh além de escolher um perfil único que
foi o Private Key com par só para deixar
claro também sem jarme porque essa era
uma das possibilidades com jarme sem
jarme então é sem jarme
ah a gente também se debruçou ali sobre
as opções que existiam dentro do Private
Key tá eh então dando só um exemplo que
daqui a pouco a gente vai abordar eh
subject Type que poderia ser pawise ou
Public
eh a nossa ideia foi de simplificação
então sempre quando existiam duas opções
ou mais a ideia era reduzir para apenas
uma só tá eh então muito dos pontos que
a gente vai colocar ali foi foram
reduções
do próprio Private Key para deixar ele
ainda mais simples de implementar Tá bom
então sobre o ponto um já tá explanado
aqui foi a escolha do Private ke par o
ponto dois de criptografia do id token
por padrão sem necessidade de validação
de dados sensíveis no conteúdo tá
explicando um pouco sobre as decisões
que foram tomadas aqui porque optamos
por criptografar sempre o eding porque
existiam instituições que estavam
enviando informações confid iais num Ed
token
descriptografado por mais que a
especificação pedisse que fosse
criptografado nessas
situações no entanto não tinha como a
gente fazer um teste por exemplo para
validar se uma instituição tava mandando
isso criptografado ou descriptografado
porque uma informação
eh pessoal não necessariamente é uma
informação que a gente consiga aplicar
um algoritmo de validação como um CPF eh
pode ser um registro de estrangeiro um
RG então pela impossibilidade de fazer
um teste de validação optou-se pela
criptografia em 100% dos casos aqui
porque o Ed token ele é trafegado
através do browser do usuário tá então
para proteger a informação ele vai ser
sempre criptografado tá também foi
Tornada obrigatória do do do pkce que
esse também já é um direcionamento do
fap 2 era uma possibilidade já no nosso
perfil então entre deixar aberto que
instituições optem e outras não
tornamos obrigatório aqui nesse caminho
de simplificação e já apontando pro fap
2 tá então todo mundo vai ter que
implementar nesse perfil o pkce
eh foram removidas as cles de CPF CNPJ
em cima disso a gente fez um estudo
inclusive usando as evidências que as
casas subiram para openid então a gente
verificou que praticamente ninguém
utilizava as cres de CPF CNPJ e a gente
até discutiu um pouco sobre como essa
decisão foi tomada
e quando essa decisão de ter as clientes
CPF CNPJ foram tomadas não setia ainda a
ideia de que o CPF ou CNPJ iria trafegar
dentro de uma requisição de
consentimento eh então pensou-se que
isso poderia ficar só a cargo do
autorisation server então como isso já
trafega em nível do do consentimento
paraa simplificação também removemos
essas duas claims n então elas não
precisam mais ser enviadas tá eh a
maioria já não enviá e vai continuar sem
enviar
então Outro ponto proibição de rotação
do registration Access token eh isso já
acontecia com refresh token de
consentimento Então já existe a
proibição de rotação para evitar-lhe os
consentimentos órfãos né Eh porque
muitas vezes você pode fazer uma
requisição de pegar um access token por
algum motivo você não conseguir ter a
resposta e você simplesmente perderia o
consentimento poderia acontecer algo
semelhante nos processos de dcm tá eh
então optou-se por não permitir mais
essa rotação do registration Access
token tá bom para evitar justamente essa
perda do client que aí seria muito mais
grave né
Eh no momento de de dcm ali
eh os response types e os response modes
ã response Type existia eh o Code e o
Code ID token então existiam duas opções
eh somente com um code que em em tese
atenderia o nosso perfil atual
eh tinha um uma questão da especificação
do fap 1.0 tá que se fosse somente code
seríamos obrigados a utilizar jarm
também e jarm é algo que a gente não
queria utilizar porque o fap 2 também já
não utiliza Então optamos por manter
apenas oid o Code ID token como opção de
response Type tá eh e algo semelhante
ali devido a algumas restrições de
especificação foi no response mode quees
a gente tinha três possibilidades que
era fragment query for me post
ã optamos ali pelo fragment eh por
decisões também de especificação e de
como isso deveria ser retornado ali
então não vamos ter múltiplas opções
vamos ter apenas o fragment Então os
receptores sabem sempre como como isso
vai chegar eh de todos os perfis tá bom
o subject Type H como eu já disse aqui a
gente tinha o Public e o pairwise a
gente eh validou ali se tinha alguma
algum benefício Claro entre um e outro
não existia então optamos pelo pela
opção que tem maior simplicidade de
implementação que é o Public o perise
hoje já tem algumas casas que estão
enfrentando algumas dificuldades com o
sector identifier o r se deve buscar se
não deve então optamos ali por por ser
sempre o Public tá E aí entrando um
pouco aqui em demandas que vieram até de
outros
GTS também está entrada em abril a
questão dos consentimentos H sem prazo
de validade tá isso já entrou uma parte
dele agora em novembro para renovação
mas nós temos uma implementação vamos
dizer assim maior para para os
consentimentos sem prazo de
validade Algumas
casas utilizam o refresh to em formato
jwt e o refresh token em jwt ele tem um
campo que é obrigatório que é o tempo de
inspiração dele então ess isso já traz
alguns problemas eh para Algumas casas
que tem que pensar em um refresh token
sem prazo de validade porque se você usa
o jwt você é obrigado a colocar o prazo
de inspiração dele tá então temos aqui a
decisão de que os os refresh tokens
desse novo
perfil devem ser todos opacos porque aí
você não tem a data de validade ali no
mínimo exposta pro pro seu receptor
Então você consegue tratar isso
internamente e também você consegue def
os refresh tokens para que eles não
tenham eh um prazo fixo ali tá eh isso é
porque quando você faz uma renovação de
consentimento você não deve emitir um
novo refresh token você tem que
detentora deve simplesmente acatar
aquilo e aquele refresh token ele tem
que continuar válido tá Então refresh
tokens como não podem ter prazo de
validade eh a decisão aqui pela
utilização dos refresh tokens opacos tá
bom e um dos pontos aqui também
importantes desse novo perfil é que
devido a Deão lá do item dois que a
criptografia do id token ela é
obrigatória eh faça necessário você
cadastrar uma chave de criptografia
agora no diretório de participantes que
é essa enq que é uma das opções que você
cadastra quando você tá criando um
software Statement tá então quando você
tá cadastrando software Statement ele já
vai herdar as chaves de assinatura que
são as BR Seals você tem que cadastrar a
sua chave de de de aplicação que é a BR
Cac E você também vai ter que cadastrar
uma Ink que é a chave de criptografia
justamente pra utilização da
criptografia do do aid token tá então em
cima do novo perfil Essas foram as as
principais decisões aqui tá aí fabríci
quiser ir pro
próximo Aí agora vou passar a palavra
aqui pro pro Paulo que vai falar um
pouco sobre o que vai ser testado aí
nessa
certificação Bom dia pessoal bom o
processo fap ele é um processo
extremamente relevante pro nosso
ecossistema né ele que garante a
proteção dos dados e do dos nossos
sistemas a proteção do do cliente né
para não ter nenhum tipo de vazamento ah
e e e garante a a confiança no
ecossistema né então
Eh toda mudança que a gente tá fazendo
aqui ela é extremamente relevante Ah e
causa uma quebra né do do contrato fap
que a gente tem hoje no sentido que
muitas software statements muitos
clientes que estão conectados hoje
usando outros perfis vão precisar migrar
pro novo perfil as casas que expõem um
perfil diferente do Private ke com par
vão ter que expor novos perfis né Então
dessa forma Todo mundo vai ter que se
certificar no nosso perfil no novo
perfil né o o fap BR
ã e para verificar conformidade das
instituições garantir interoperabilidade
segurançaé
ã Ah bom acho que a maioria das pessoas
que estão aqui já passaram por esse
processo de certificação já conhec os
motores quando a gente fala de fap né o
fap ele é mantido pela openid foundation
e os motores de teste motores de
certificação o as esteiras de
certificação também são todas mantidas
por eles são evoluídas e mantidas por
eles
ã poder avançar Fabi por favor então o
que que a gente vai certificar paraas
casas né a primeira coisa que precisa
ser certificada é o processo de DCR dcm
processo de DCR dcm é quando gente se
estabelece a relação de confiança entre
o o o receptor de dados e o transmissor
ou o iniciador e pagador quando tá
combinando o jogo não olha eu sou essa
instituição e meu authorization server
sabe falar esse idioma sabe falar esses
perfis com esses algoritmos tem essas
urls e o e
o o receptor de dados a mesmo tempo fala
olha eu sou este cliente estou
registrado aqui no diretório aqui tá
minha minha cadeia de certificados e
eles combinam o jogo né de como eles vão
se falar dali paraa frente para realizar
o processo fav os processos de
autenticação né e e Aqui é onde tá o
maior impacto né a gente tá diminuindo a
quantidade de possibilidades que um
registro pode ser realizado a gente
tinha ali explodindo as combinações oito
perfis estamos reduzindo para uma todo
mundo vai para private Key com o J com
com o né ã então a gente precisa
certificar este processo de DCR ã e que
que a gente vai olhar aqui né vai olhar
olha
eh a comunicação o fechamento da
comunicação usa certificado tls com mtls
da kdi CP Brasil com todas aqueles clims
que a gente determinou no passado né
isso não muda né a gente F ali da
assinatura do jwt tá usando os os tipos
de os algoritmos ou o os protocolos que
foram estabelecidos e e acordados e
agora são são estão são mais restritos
aqui para esse novo perfil né Ã Não
estamos rotacionando token eh a
transmissão de dados acontece
adequadamente aqui a transmissão de
dados durante o DCR você envia os campos
que precisa enviar né E ao mesmo tempo
precisamos também testar a mudança né
então anualmente a gente precisa fazer
um processo de dcm né então ah preciso
trocar o meu certificado vou lá fazer um
dcm para atualizar o meu certificado
preciso eh atualizar as minhas urls de
redirect ou ou preciso atualizar os
escopos que meu cliente utiliza porque
entrou uma produto novo eu quero eh
consumir este produto né então o
processo de dcm é um processo
extremamente relevante e que todo mundo
vai ter que em algum momento agora nesse
processo de de mudança pro novo perfil
fap realizar né para atualizar olha hoje
meu cliente ã fala mtls CP e agora ele
vai passar a passar falar para compar
Então vai ser necessário fazer um dcm né
então o motor de conformidade também vai
validar este processo de dcm né como que
as mudanças estão acontecendo se você
implementou corretamente funcionalmente
se a segurança desses endpoints está
adequada se você
ã faz a manutenção do acess toking de
forma correta se não rotaciona então ã
todo todos os aspectos do dcm ali são
testados tá só PR ex ficar eu vou fazer
isso só com aqui a parte D CR dcm e
depois eu ten uma lista completa de tudo
que é testado Só passando um pouco poder
avançar Fabi O que é testado
especificamente em DCR
dcm então Opa isso
eh então cenário feliz olha eu tenho um
software que tá um cliente né que foi
devidamente cadastrado ali no diretório
ã com certificados com os papéis todos
definidos eu faço faça um caminho de DCR
feliz né então ele vai faz o registro do
cliente ã daí ele faz um processo fap
para validar que aquele registro foi
efetivo ã ele cria um consentimento para
validar que o token gerado no faf
realmente é funcional e daí ele faz o
registro validando Olha o cenário feliz
nas melhores aqui está funcionando né
daí faz algumas variações né ah eh olha
uma das coisas que pode acontecer são os
escopos que você fornece eh e eles
quando você faz o DCR ele é opcional
você enviar se você não envia você quer
tudo se você envia você quer específico
no primeiro teste ele não manda no
segundo teste ele manda os scopos para
validar que a casa sabe tratar essa
diferença também modifica as ordens dos
Grand types que deveria ser algo
irrelevante então ele faz algumas
variações de Campos de formato né para
validar aqui olha independente do
formato que você recebe o dcn se é um
formato válido Você aceita né pois ele
faz um teste mais eficaz de de registro
do cliente a o registro faça o
desregistrar de funcionar eu paro de
conseguir consultar o software então ele
Verifica o desregistrar
a fazer alguns testes negativos né olha
eu faço um registro do cliente se eu
usar um access token inválido eh vai ser
rejeitado então testes de segurança que
ele começa a fazer em dcm e assim vai
ele vai fazendo inúmeros testes
positivos e negativos cobrindo todas as
Ades necessárias incluindo né as
mudanças que
foram realizadas né então agora você só
pode
realizar um DCR né com Private Key jwt
ou seu ID token precisa estar
criptografado né Ah você não pode
rotacionar mais o registration token
então todos esses testes foram embutidos
ao longo desses módulos né então eu
tenho módulos que tem objetivo de testar
funcionalidade
segurança e eles utem em todos eles
essas mudanças que foram
adotadas se puder avançar
f a gente tem uma lista completa do que
engloba todos os os testes tá do DCR dcm
depois a gente compartilha então DCR dcm
do fap e do dos Testes de par tá então
isso é o que é testado em DCR dcm né Eu
quero validar se o seu processo de
registro e aonde vai estar maior impacto
com as mudanças agora está adequado está
funcionando e vai funcionar para novas
políticas que foram adotadas no fap bre
tá
ã poder avançar FV
Ahã tem mais que a gente também
certifica o fap né o processo fap é o é
o principal Core né eu faço o DCR dcm
para eh para asas instituições se
conhecerem né e conhecer como elas vão
conversar e o fap é o dia a dia o
cliente vai dar um consentimento para
aprovar o consentimento ele passa pelo
processo fap um processo de
redirecionamento aonde ele faz a
autenticação e um ambiente seguro da
própria instituição transmissora de
dados ou detentora de conta ali né Então
faz a autenticação do jeito que ele já
conhece a os usuários sem a CPF sem a
com segundo fator de autenticação que
ele já usa no seu aplicativo então de
uma forma que ele conhece vai ter mais
segurança para realizar e sem expor as
suas credenciais né então no fap ele é
certificado os formatos das mensagens né
então os parâmetros que são obrigatórios
então assinatura de mensagem se os
parâmetros obrigatórios estão presentes
ou estão ausentes se a redirect u tá
registrada no diretório é válida para
realizar o processo daí Campos mais
técnicos como non do jwt ali para
garantir não repetição e e e a seguranç
da mensagem que tá sendo trafegado
também são realizados testes de
autorização e autenticação né então
Eh como que a instituição manipula os
tokens se os tokens são condições
gerados são efetivos se quando eu revogo
um consentimento
ã seja eh ele ele deixa a desregistrar
deixa de funcionar
eh se eu se eu se eu consigo fazer um
consentimento com um cliente tentar usar
em outro cliente eh não funciona então
vários testes de segurança para avaliar
as seguranças do os tokens gerados
durante o processo fap né e diversos
cenários de exceção Olha eu usei uma
chave inválida eu usei um ID token
inválido eu não mandei um parâmetro
obrigatório ou solicitei algo que não
estava dentro do meu consentimento né
então vários cenários de exceções também
são testados tá
eh e e todos esses testes tá do fap
Ah eles foram alterados né Tem um
conjunto acho que são mais de 40 módulos
de teste ali foram alterados para
respeitar ã o novo BR então ele exige
que seja um modelo
Private ele exige eh que os os to sejam
encriptados ele exige que os tokens não
sejam
rotacionados Então tudo isso é testado
então Aqueles tokens mais técnicos sash
Crash tudo isso são é validado com base
no no perf tá
eh e o último certificação aqui que eu
vou falar que também foi
adaptada essas duas primeiras
certificações são para os transmissores
detentores de contas né mas a gente
precisa garantir que as duas pontas
estão funcionando que as duas pontas se
adaptaram ã e estão no novo perfil estão
seguras estão em conformidade para
garantir além da segurança e
interoperabilidade né então a gente
também tem a certificação de rel L par
né A RP né que serve para validar
ã como os consumidores de dados ou
iniciadores de pagamentos implementaram
seu processo de DCR dcm e fap é uma
certificação única que valida todos os
cenários e de novo né faz testes de
validação da mensagem do Ed token com as
novas regras de criptografia eh Testa o
fluxo de autenticação Olha esse cliente
sabe fazer autenticação adequadamente
ele responde adequadamente ao processo
de redirect aos dados recebidos no
formato que foi combinado né ã e garante
também como é mantida ali a parte de de
integridade autenticidade
confidencialidade dos tokens ali
interações dos clientes tá então aqui é
olhar o outro lado né eu preciso ter
fechar a conexão dos dois lados os dois
lados precisam se adaptar
ã pro perfil novo né a febi vai entrar
um pouco em detalhe em prazos né mas
antes disso em processos políticas de
certificação mas Fabi acho que eu vouver
a ordem eu já vou e não mais técnico vou
fazer uma pequena demonstração técnica
bem técnica esse pedaço só para mostrar
na prática O que vocês vão
ver de mudança tá e Impacto Tá eu vou
puxar a tela aqui F
rapidinho fica à vontade Paulo pode
puxar eu bom
eh pra maioria de vocês vocês já
conhecem esse ambiente tá aqui é o motor
de conformidade da openid certific
p.net ã Essa é a versão corrente da
especificação sem as mudanças né
aplicadas E a gente tem um outro
ambiente que por enquanto é de
demonstração que tá no novo perfil mas
depois posteriormente ele vai ser
tombados né os novos testes vão ser
tombados para esse ambiente aqui tá
eh para realizar o teste aqui na verdade
eh eu vou demonstrar o impacto que
alguém que vocês vão sofrerem devo
mudança tá então a primeira coisa que eu
fiz foi criar lá no diretório um
software
e ele está corretamente cadastrado tá
então tem as urlas de redirect ele tem
os certificados os papéis todos
registrado e eu tô usando o motor de
conformidade o mckb aqui ainda na versão
sem as alterações ou seja
eh eu não tenho as mudanças instaladas
no meu mock Bank aqui então Teoricamente
eu estou eh num motor que usa o perfil
antigo com o meu authorization server
que usa o perfil antigo configurado aqui
direitinho eu vou rodar só o primeiro
módulo de teste obviamente não deveria
ter nenhuma surpresa deveria funcionar
porque eu estou com antes da mudança nos
dois ambientes tanto o meu cliente
quanto meu transmissor estão antes da
mudança ele tá executando com sucesso
ele vai no diretório valida certificado
valida hash ã eh fez o registro daí vai
testar um processo fap ele vai me
redirecionar aqui pro ambiente
provavelmente eu já estou logado aqui
que eu fiz o teste antes aqui no Lock
Bank ele passa todos os dados de
consentimento eu aprovo o
consentimento
e o teste vai passar com sucesso no
final então ele testou o processo fap
ele vai criar um consentimento para
validar aqui o meu token efetivo tudo
certo faz o de registro acabou meu teste
com sucesso passei no teste tá então sem
surpresas eu tô num cliente antigo com
motor antigo com com motor antigo
funciona e agora usando demo
certification Tá mesmo perfil fap então
perfil atualizado agora né tô no Demo é
o perfil atualizado com as novas
políticas usando o mesmo software
Statement né ou seja o cliente antigo
aliás um autorisation server antigo
tentando usar um cliente novo tentando
usar um anation server que não foi
atualizado Quando eu for deix eu voltar
antes de de rodar primeira grande
mudança que vocês vão ver é que se eu
tentar trocar o tipo né então
obrigatório agora é Private ke jwt com
ped Se eu tentar qualquer outra coisa
ele não vai deixar eu avançar né ele
fala olha agora no open finance Brasil
você não pode mais usar mtds ja então
qualquer combinação diferente de private
Key com push e com pl response né ele
vai bar
ou eu só consigo me certificar no perfil
novo tá
ã aqui como eu vou executar é o um
cliente que fez as mudanças né mas
autoriz server não fez quando eu tento
executar vai começar o processo ele vai
no diretório ele vai achar que tá tudo
certo lá no diretório porque eu tenho
certificados cadastrado e tudo bonitinho
ã mas em algum momento aqui ele vai me
apontar um erro de encriptação porque eu
não vou conseguir encriptar o meu ID
token não vai estar
encriptado então ele falha né e ele
reclamando Olha o seu Ed token não
estava encriptado tá eh ele faz outros
testes em algum momento aqui ele faz um
teste de rotação de de de acess tokens e
tudo mais tá então você vai ver vocês
vão ver que não não tiveram grandes
mudanças na nos objetivos dos módulos
mas em como os módulos se comportam tá
ã por último Tá eu vou pegar aqui um
outro cenário né é o motor novo que tá
no no perfil novo lá ã mas eu tô usando
uma aplicação aqui nesse caso né que já
está preparada o mock Bank aqui já
preparado pro perfil novo tá
ã nesse
caso
tudo D certo ele vai rodar até o final
sem surpresas
tá Fiz o processo f ou acess token e vai
chegar lá embaixo vai dar tudo certo no
consumo da P de concentimento e vai
finalizar des registrando o cliente
passando com sucesso tá então o o motor
ele já embutiu né nos seus testes e se
eu olhar aqui o voltar pro plano né ã
tem aqueles cenários que eu descri né
então cenários felizes com de formas
alternativas o des
registro daí cenários negativos ou
tentando usar um registration acess
token inválido valid uma assinatura
inválida e daí não enviar software
Statement então várias combinações
possíveis aplicando aqui
ã os testes tá então eh os testes já
estão disponíveis tá então eh essa URL D
certification openid.net é importante
que vocês já comecem a utilizar né
porque isso Vai facilitar vocês
entenderem as mudanças os impactos que
vocês vão sofrer mas também ajuda a
ganhar maturidade no motor né aqui
aquela aquela máxima que a gente sempre
traz que o motor tá em constante
evolução né então conforme vocês vão
executando a gente pode encontrar erros
e corrigir erros do motor ou pode
encontrar gaps no motor e novos testes
que precisam ser realizados para
garantir a segurança né então Eh é super
importante que quanto mais instituições
executarem esse teste ã mais acertivo
vai ser durante o processo de
certificação tá
ã certificação FAP
é a mesma coisa né eu vou vir aqui vou
selecionar o plano de
pap de novo Private Key PED então tem
bem aqui no Brasil com plan response né
Se eu tentar alguma coisa diferente
disso ele vai barrar
ã e aqui P
avanço e consigo executar então tem os
diversos testes positivos H primeiro vem
a questão do registro né lá no diretório
daí teste positivo da o que acontece
quando o usuário rejeita a autenticação
então todos os testes H que validam a
segurança e associatividade ah da
implementação FAAP acrescidos das novas
regras e políticas para criptografia de
Edit okem e perfil tá então não tenho
certeza primeiro é só validação do
diretório com certeza vai funcionar né
ã extremamente rápido o próximo que é o
cenário feliz eu já não tenho certeza se
vai funcionar porque eu não não no meu
plano não tenho certeza se eu configurei
os dois clientes tá eu acho que tá
indo
[Música]
Ahã ele faz o processo fap E se a gente
buscar aqui a gente vai ver a parte de
ele validar se o se de tokem tá
encriptado ele valida
ã acho que talvez não nesse módulo mas
tem um módulo que vai testar a rotação
de de assess token de refres token
valida a questão de scopos e tudo com
base no perfil novo tá eh bom daí que o
plano segue vai me pedir uma segunda
autentificação e tudo mais né
ah um detalhe né que foi comentado é lá
no diretório né então aqui eu tô no
diretório né ã esse daqui foi o primeiro
software que eu utilizei e ele não tá no
no perfil novo ã Se eu entrar nas
configurações
deles vocês vão ver aqui na parte de
certificados e ele não tem um
certificado de encriptação né ele não
sabe encriptar Ed tokens ele não usa Um
certificado para encriptar se eu vou no
segundo que eu
utilizei
esse cara aqui ele já tem um certificado
de encriptação né para poder fazer enp
token tá então tem algumas mudanças
cadastrais no diretório né que vocês vão
ter que cadastrar
Eh esses tokens qual qual chave né você
vai usar para encriptar o seu Ed token
tá mas eh tudo isso vai est no guia né
ensinando como vai ser utilizado E como
vai ser o processo tá última coisa que
eu queria mostrar aqui acho que também é
só para para relembrá-los uma vez que eu
terminei a certificação executei todos
os meus testes até o fim né
ã eu posso publicar a certificação ele
vai pedir o arquivo assinado
de você se compromete dizendo que fez os
testes válidos que você não não fez
nenhum tipo de de de artifício para
passar nos testes né e e Assinado por um
por um diretor e da instituição né E
quando for o teste RP também precisa
anexar os logs do cliente aqui tá
ã isso aqui ajuda gerar o pacote que vai
ser submetido tá no site da openid de no
site da
openid
ã certificação né vai ter aqui
alguns as páginas como você certifica e
vai ter aqui que que você faz uma vez
que Você completou os testes né Tem um
guia aqui do que você faz tá então aqui
ele ensina tudo que precisa ser feito
para fazer a submissão né A primeira
coisa é o documento assinado né então
ele tem aqui o documento assinado para
baixar para passar para um diretor né E
daí ele fala como é o formato do pacote
e tudo mais mas se você gerar usando o
botão de certificação aqui no certifica
e anexando o documento aqui ã ele já
gera no formato correto então vocês não
precisam muito se preocupar com este
formato que ele descreve aqui porque já
vai ser gerado automaticamente tá uma
vez que já tem o arquivo zip gerado você
entra no certification request form
né E faz o pedido de certificação entra
o seu e-mail o nome da sua
organização o nome que você quer que
apareça naquela tabela né então voltando
ali no site da
PID
aqui tem uma tabela de todo mundo que é
sortificado
né Qual nome você quer que apareça nessa
coluna né da implementação então sua
organização e a sua implementação né é o
que você preenche ali né Qual o nome que
você quer que apareça
né Brasil
Open aqui se você já fez o pagamento
você pode colocar aqui senão el
ah Eles mudaram aqui tinha opção dizendo
que você ia pagar depois mas então você
tem que batar o pagamento o código do
pagamento aqui acho que a Fabi vai falar
um pouco disso ã do de de de de processo
de pagamento né e mas os custos o
processo natural é o contato através do
site da openid gerando invoice tá eh
então se você vi em certificação vai ter
aqui uma um lugar que fala de como você
faz o pagamento da
certificação
[Música]
eh
bom se errado vai ter aqui um link em
algum lugar que fala do pagamento da
certificação
certification
P em que você pode se você for um membro
você tem desconto né E se você tem um
cupom senal você põe o nome da da da
entidade que vai ser certificada o
e-mail o software Statement que vai
aparecer lá na coluna e a certificação
que você vai fazer a fap
né
daí para idps né que são transmissores
ou ou detentores de contas ou RP são
iniciadores de pagamento e receptores tá
000 faz o pagamento você pode pagar e a
cartão PayPal mas geralmente a gente faz
um request de uma invoice né para
receber uma fatura e fazer o pagamento
uma vez pago eh consigo seguir em frente
com o processo Tá então não muda aqui o
processo como um todo tá
eh Então é isso tá assim eu acho
que Impacto de fato é refletir dentro os
planos de teste que vocês já conhecem as
mudanças que aconteceram não tem nada
além
disso e eu volto para você não sei se
tem tem mão levantada se a gente já
responde agora ou deixa pro
final Adler a gente tá tentando
responder aqui pelo chat eu sugiro se
você conseguir mandar por aqui eu vou
passar só por pelo cronograma rapidinho
depois a gente já vai entrar na parte de
na parte de perguntas tá algumas já
estão sendo respondidas
tá bom beleza era sobre cenário na
verdade se desse tempo mas tranquilo
pode seguir
aí pessoal vocês estão conseguindo ver
minha tela de
novo sim boa Obrigada
eh pessoal então agora o que que é
esperado das instituições né então o
cronograma que a gente tem eh a gente tá
nesse processo final de adequação do
motor pro novo perfil pap então que nem
o Paulo e o renier já comentaram antes
eh o perfil agora ele tá disponível no
no link demo então ele ainda tá em
ambiente de homologação assim que
possível ele vai migrar
pro ele vai migrar pro pro ambiente de
produção mas ele ainda vai migrar como
uma versão Beta E durante esse período
de dezembro A ideia é a gente receber o
máximo de feedbacks possível contribuir
ali pro para que esses testes estejam
mais sedos possível então mesmo M ciclo
de Não mesmo porque aqui a gente não tem
os Marcos Tá mas tentar estabelecer esse
uma maturidade adequada para esses
testes então pedindo aqui um apelo
contribuição de vocês então se você já
tá desenvolvendo novo perfil se você tá
executando os testes eh o processo de
avaliação da
documentação abertura de Ticket execução
dos Testes e tanto no gitlab da própria
openid quanto o o service desk ele é
Mental para para esse para esse processo
pra gente garantir o período de Janeiro
tá então em janeiro ali do dia 3 até o
dia 30 de janeiro todas as instituições
vão ter que executar os testes com essa
última versão eh mais atualizada eh
fazer o pagamento e fazer a submissão do
pedido ali no site que é esse processo
que o Paulo acabou de mostrar a data
final para isso é até 30 de Janeiro todo
mundo ter feito o pedido na Open ID
porque a openid tem um um prazo maior
para processamento da certificação tá
então entre 31 de janeiro e 19 de Março
vai ser o prazo que a openid vai
precisar para processar todas as
certificações do ecossistema inteiro tá
então aqui a gente tá falando de
certificação DCR dcm certificação fap e
certificação RP de todo mundo que tá no
ecossistema então é para transmissoras e
e detentoras e para iniciadoras E
receptoras aí Depende muito do caso né
assim se você é eh iniciadora única você
não precisa do do da certificação ap mas
dadas essas eh especificidades Então
esse prazo aqui de 31 de janeiro a 19/03
ele é pro processamento da openid E aí a
gente tem o início da entrada em
produção dia 25/03 aqui todas as
detentoras de conta e transmissoras de
dados Elas têm que estar com um novo
perfil em produção para que as
iniciadoras e transmissoras possam
realizar o dcm até dia 14/04 tá você tem
que garantir a compatibilidade com os
perfis antigos durante esse período de
convivência aqui a ideia é realizar os
dcms dcm era para ser feito de uma
maneira fluida a gente sabe pelo
histórico que ele não acaba sendo tão
plug and play de certa forma quanto ele
deveria então estamos trabalhando para
isso tentando deixar a certificação o
mais completa possível mas durante esse
período eh é fundamental aqui garantir a
compatibilidade
eh e estaremos todos após aqui para caso
tenha algum problema a gente comunicar
mas aqui é uma questão que vai ter que
ser a as discussões bilaterais vão ter
que acontecer de maneira muito fluida
aqui tá então mais para frente a gente
vai conversando com vocês com as
instituições pra gente eh ter um plano
de ação bem bem organizado para caso
tenha que
eh ten algum imprevisto
E aí a partir de 14/04 eh vai ter a
descontinuação dos demais perfis de
segurança então Aqueles oito perfis que
a gente tem em vigor hoje eles vão ser
descontinuados em 14 de abril e aí a
gente tem o go Live de consentes de
pagamento recorrente de transferência
inteligente acontecendo no dia seguinte
no dia 15/04 eh o novo perfil é
fundamental pra gente poder viabilizar a
nova pi de conant a nova Major e Para
viabilizar Pag recorrente transferências
inteligentes tá então por isso que as
datas aqui estão casadas então de
maneira geral é isso que é esperado
então pedindo um apoio aqui especial
para todas as instituições eh quem já tá
desenvolvendo novo perfil poder ir
executando Hoje ele ainda tá no demo
assim que ele for transferido isso der
certo até o final dessa semana pro
promotor oficial da openid de produção a
gente vai mandar em forma com as
informações o nome do plano de teste
atualizado tudo tudo direitinho
tá acho que no geral é isso E aí
ranes eu posso entrar só na parte três e
aí depois eu volto para você aqui nesse
slide do fa vontade Então tá bom eh o
curso de certificação eu vi que várias
instituições estão mandando dúvidas tá
custo oficial da certificação é de 000
por submissão por submissão uma op ou RP
então quando a gente fala de OP
especialmente se você mandar o seu eh
test DCR fap juntos então ele é cobrado
como uma submissão só
eh se você quiser se tornar membro se a
sua instituição quiser se tornar membro
da Open ID os custos de membership são
diferentes de acordo com o número de
funcionários da instituição tá se você
se tornar membro o custo de cada
certificação ele vai para 000 e a gente
tá em processo final de negociação eh de
desconto com eles então no último ano a
a renova de certificação ou seja só quem
já tinha uma certificação eh e tava
obtendo a atualização dela o custo foi
de 000 a gente tá em prazo
eh último prazo aqui pra gente negociar
com eles essa esses valores e também
vamos mandar para vocês os dados assim
que possível e a gente pede as
instituições costumam ter uma
dificuldade um desafio para fazer
pagamento para openid por ser um
fornecedor internacional então eu peço
que vocês já tentem se organizar
internamente aí dentro da dentro das
instituições para fazer esse pagamento
para para eles TM as informações ali no
portal também
eh se for o caso
eh Se não conseguir realmente fazer o
pagamento aí o processo de para realizar
via Chicago se mantém o mesmo e as
informações estão no guia de
certificação tá
eh e aí Só aproveitando eu vi aqui que
tem uma certificação que é válida até
6/4 julho de junho de 2024 eh Sim todas
as instituições vão ter que obter essa
nova certificação tá então aqui ranier
vou passar para você para falar do do
restante aqui da
fac bom esse slide Posso fazer uma
pergunta para
você se for do ponto dos custos aqui
pode fazer senão desculp é porque daí
vai abrir para para cenários né o você
você falou rapidamente né eh 5.000 né
tem a de 2.000 e a de 1000 tá em
andamento a renovação
eh é é 2000 e a para quem já é associado
a renovação é 1000 é isso tá eh custo
oficial é 5.000 e custo para quem é
membro da Open ID é 000 para cada
certificação isso tá dado é só se tornar
membro ali aí o custo para se tornar
membro depende do tamanho de cada
instituição o que a gente fez no último
ano foi negociar com a openid o custo de
renovação para quem não é membro por 000
então estamos tentando melhores esforços
aqui para manter esse esses valores ele
era só paraa renovação op inclusive para
RP isso não era válido então estamos no
processo final para pelo menos manter
essas condições E aí Acredito que até a
próxima semana ou daqui a uns 10 15 dias
a gente consegue retornar para você tá
com essa confirmação essa Associação é
associação da Chicago que você fala não
não é associação da Chicago é associação
de cada instituição mesmo tá de qual
instituição que você é BMG Então seria
como se o BMG se tornasse membro da Open
ID E aí o custo para para pro BMG se
tornar membro depende de quantos
funcionários T deixa eu até mostrar a
tabelinha aqui para vocês Mira
[Música]
um estão comentando geralmente quando é
uma instituição sem feis lucrativos ou
governamental é barato se tornar n né
uma empresa privada Geralmente se eu não
me engano tava em torno de 000 se tornar
membro da Open ID né então geralmente o
que se fazia Apesar quantas
certificações eu vou precisar né Eu vou
precisar de uma op e de uma RP então
0.000 é menos do que os $25.000 não
compensaria para mim me tornar membro Ah
não tenho seis authorization service com
que eu quero certificado de forma
independente aqui a gente tem alguns
casos de inses que foram C Então já
essas seis seis certificações
0.000 acho que se torna é compensa me
tornar membro E e ter as certificações
mais baratas né então eram era uma
escolha que as casas tinham para se
tornar membro e tentar conseguir a
economia né
ã o membership ele tem validade de 1 ano
né ã então e que casa mais ou menos com
o nosso processo de certificação a gente
geralmente pede a cada um ano exceto
essas situações que a gente tá trazendo
uma mudança no perfil a gente antecip na
verdade a gente adiou nem antecipou né a
gente fez todo mundo segurar um pouco a
certificação né
ã eu acho que
ã o pleito que a gente tem com a openid
que a gente quer manter de de 2000 dólar
para quem não é membro é é é um desconto
muito bom a gente tá tentando estender
para RP também e é só para quem
renovação Então quem é a primeira
certificação novos entrantes continuaria
com custo total full n 000 e quem está
renovando está no processo de renovação
anual a gente tá pleiteando manter esse
desconto trazendo para
$000 certo bom fap eh DCR juntos é é uma
só que daí essa de 000 que você tá
comentando e o RP é separado né como era
antes também o pagamento separado da RP
né É que eu não vi na tabelinha na
página lá da da Open AD tava só fap ali
num via do rp como era antigamente é é
isso tá o único detalhe que é importante
todo mundo fazer é pap e DCR são duas
certificações distintas mas se você
pedindo um único pacote eu quero fazer a
certificação fap e DCR eles cobram uma
única vez você pagaria $000 pelas duas
certificações se você fizer duas
submissões distintas olha não uma
submissão para DCR e outra submissão
paraa fap você vai ser cobrado duas
vezes então por isso que é importante
pedir de uma única vez é por submissão
DCR junto mas dá para pedir um pacote
com fap DCR e RP de uma vez só o RP tem
que ser separado RP separado tem que ser
separado É tem que ser separado é que
naquela tabelinha lá na outra página não
aparecia o RP aparecia só fap eu achei
que ia ser único também englobando o RP
também mas é s separados E no caso é
renovação então a renovação é 2000
né E aí essa tabela é para se associar e
a quantidade de funcionários né exato
vinculado com a quantidade de funcionári
eh aquela tabela que a gente tá chamando
de fap único essa nova essa mudança
geral né Essa nova documentação mas aí
ela serve tanto para op quanto para RP
tá então aquele cronograma ele é o mesmo
eh tanto para pros dois lados RP e
op e a informação sobre eh o custo
oficial é 000 para quem não é membro
cada uma das certificações e $000 para
quem é membro estamos renegociando para
manté pelo menos a renovação de de OP
por 000 E aí a gente manda detalhes
sobre isso até final do
mês Ok
obrigado aí retomando aqui Rener se
quiser quiser
puxar no Mud Prontinho vamos lá não tava
respondendo uma perguntinha aqui no chat
vamos lá
eh sobre algumas dúvidas comuns que a
gente tem recebido aí no no GT tá
eh então o primeiro primeiro ponto aqui
é sobre o comportamento do as para
chamadas que não realizem o dcm tá eh o
primeiro ponto é que o dcm por si só ele
não é
obrigatório mas ele muito provavelmente
terá que ser executado tá Por quê vamos
imaginar que você estava numa
comunicação com uma casa que já usava
Private Key e par tá bom
eh como eu disse o perfil anterior mesmo
o Private com par ele tinha uma série de
de opções por exemplo subject Type
response mode tá eh Então se no seu
momento de DCR original você fez alguma
escolha por exemplo escolheu o per Wise
que não está mais mais disponível no
novo perfil você deve fazer o dcm para
se adequar às opções do novo perfil tá
bom se por algum motivo o DCR que você
fez era um DCR que já atendia
completamente ao novo perfil o dcm não
vai ser obrigatório tá dcm não vai ser
obrigatório tá acho que tá dando alguém
abriu o microfone lá saiu eh acho que
não sei se é o seu Fabi tá dando retorno
pronto chou eh então e essa questão tá h
não é que ele seja obrigatório mas muito
provavelmente você terá que fazê-lo
porque talvez você não tenha acertado em
todas as combinações possíveis ali tá
bom sobre a validade das certificações
atuais eu acho que a a Fabi também já
respondeu boa parte disso tá
eh a gente tinha feito uma uma
análise com base nas informações que as
instituições subiram no diretório
eh de quando essa essas certificações
delas iriam vencer a gente viu que
provavelmente mais de 90% começariam a
vencer ali em agosto é por isso que a
gente deu esse conseguiu esse prazo né
com com a Open openen ID porque senão as
casas teriam que fazer uma certificação
no perfil antigo e em seguida fazer no
perfil novo tá eh então a gente
conseguiu de que as certificações que
começaram a expirar em Agosto ela
tivesse uma prorrogação automática Até
abril Então se provavelmente ess sua
casa já passou por isso né a gente já tá
cheg em dezembro aí mas se você tem uma
se você tem uma certificação que tá para
vencer em dezembro janeiro fevereiro
você não precisa renová-la Ah você o que
você precisa é certificar apenas no
perfil novo tá bom E sobre o último
ponto ali que é o item 4 que gerou
algumas dúvidas
ã o mtls apesar de agora a gente ter a
autenticação do usuário como Private Key
o mutal tls ele continua no ecossistema
Tá bom então quando você fizer as
comunicações quando um receptor vai se
comunicar com o
detentor você tem que continuar enviando
o seu certificado usando o certificado
brc eh nessas comunicações tá é assim
que os tokens os access tokens emitidos
eles geram um vínculo com o
certificado e também é assim que no
momento de uma chamada por exemplo uma
chamada uma p de recurso como uma
chamada de uma p de pagamento você
consegue validar se aquele access token
foi emitido para aquele certificado que
tá sendo utilizado tá bom
eh então você deve continuar a enviar eh
a utilizar mtls usando o seu certificado
brk queou seu seu seu certificado de
aplicação nestas comunicações tem até
outros momentos por exemplo DCR dcm que
também utilizam o certificado enviado eh
uma das validações que tem que ser
feitas no momento de DCR ou dcm é se o o
software Statement ID do do software
Statement assertion bate com software
Statement ID com o atributo ID do
certificado que tá sendo utilizado tá eh
basicamente O que foi tirado ali do
mutal é o processo de DCR com o mutual
que tinha aquela questão de validar os
atributos do
certificado tinha aquela questão um
pouco chata de converter atributos para
asn1 não converter em determinados casos
aí tem certificado que tem atributo em
utf8 outros que TM atributo em string
então essa parte que gerou muito
problema nos DCR do passado eh isso foi
removido então DCR dcm é utilizando
Private Key mas você deve continuar
enviando o certificado para essas
transações Tá bom então só para deixar
claro esse ponto que eu acho que isso
resolve boa parte dos temas aqui Hã Eu
acho que das perguntas so são essas que
a gente tinha aqui são só essas da
apresentação Acho que sim né
eh olha
temos muitas perguntas Adorei o
engajamento de vocês aqui no chat Muitas
delas acho que foram respondidas tá no
chat
já não sei se a gente deve pegar talvez
do se eu puder deixar claro aqui a parte
de
que que a gente espera de vocês agora em
relação a pagamento inspiração que eu
acho que ainda tem algumas dúvidas que
estão surgindo vamos lá todo mundo que
tava com algum certificado que vencia
até agosto o seu certificado vai valer
até dia 14/04 tá então se você tá nesse
nesse cenário você já tem uma
certificação tá correndo atrás da da
atual segura um pouco porque você vai
ter que executar aqui em Janeiro com a
nova versão dos Testes que hoje tá em
demo tá então já vai vai se organizando
vai planejando Mas aí você a
certificação que você tem hoje ela vai
durar até dia 14/04 e o que você vai
precisar é se organizar para em janeiro
executar os testes na versão oficial do
novo perfil submeter até 30 de janeiro e
aí a gente vocês vão receber a nova tá
então resumindo se você for um novo
entrante se você for entrar agora os
testes que estão disponíveis paraa
certificação são os do perfil antigo e
Em janeiro você vai ter que certificar
de novo com o novo perfil você pagaria
duas vezes tá então eh mas fica a cargo
da instituição se você quiser um novo
entrante eh entrar aqui antes de Março
Então você vai precisar da certificação
do perfil antigo e vai ter que pagar
essas duas vezes tá
eh e aí aqui eu acho
que era isso um geral sobre que ainda
tavam mandando aqui
da desses do
pagamento Então as que estão vencendo
vão ser prorrogadas até 14/04
automaticamente não precisa ter nenhuma
ação a não ser submeter a em janeiro de
novo
eh Daniel a gente tinha não sei se a
gente conseguiu passar por todas vi que
tá com uma mão tem uma mãozinha
levantada
eh Carlos Oi eh sobre a a chave de
encriptação ela ela foi definido o
padrão para ela igual a gente tem para
assinatura por exemplo ou não eh eh
porque a gente vai ter que subir no
diretório agora né a gente vai ter que
comprar um específico exclusivo para
para para encriptação num padrão num
padrão de cadeia específica ou algo
assim na documentação não tem nada ainda
né Não acho que essa pergunta foi até
respondido no chat não sei se a pergunta
foi su cara não vi eu não vi a resposta
ali no chat tem muita mensagem ali eh
não tem padrão eh inclusive Quando você
vai no diretório e fala que você quer
subir uma inq ele te dá o comando pode
ser uma chave Auto assinada não é uma
chave que você precisa fazer aquisição
Tá
ok pessoal aqui acho que a gente
conseguiu passar esse é o geral que a
gente vai ter pros próximos Passos
Eh ok mais mãozinhas vamos lá vamos
aproveitar aqui esse tempinho ainda
Wellington Oi Fabian tudo bom eh só uma
dúvida com relação à mensageria que teve
no chat né Eh mesmo coisa de hoje eh
ontem também teve várias né e ao final
da reunião Elas não ficaram mais
disponíveis eh como é que a gente faz
para ter acesso ali ao conteúdo pra
gente né
Eh pegar as respostas do das perguntas
que foram coloc e a gente ter um
entendimento melhor aqui da das nossas
dúvidas internas perfeito Wellington a
gente tá fazendo esse consolidado tá a
gente tá até fechando da reunião de
ontem a gente vai fazer o mesmo para
hoje fechar num arquivo todas as
perguntas as respostas e a gente vai
compartilhar com vocês tá a gente vai
mandar por informa junto com a gravação
eh a gente só não não não conseguiu
terminar de compilar ainda todas as
respostas de ontem mas mesmo processo o
de hoje a gente vai
vai mandar no no pdf beleza Muito
obrigado
imagina
Fernando bom dia a gente já trabalha com
PR no nosso perfil né a diferença básica
é que o ID token Não é criptografado se
a instituição não fizer dcm para para
alterar esse perfil a gente deve
bloquear ela de alguma forma ou
permanece funcionando mesmo para token
sem criptografia conforme ao modelo
atual
vai ter um período de convivência né
então o perfil antigo para quem ainda
mtls vai continuar funcionando até uma
data que tá estabelecida não sei se foi
passada aqui ou se mas ainda vai ser
mantida essa compatibilidade tá E vai
chegar uma data aqui olha agora ou você
faz a dcm ou vai parar de funcionar
então
ã por enquanto
eh continuaria funcionando você não
rejeitaria você está com Private Key com
já tá no formato adequado ã Mas você
ainda não está com ID token
criptografado então ok até eh
14/04 a gente tem que colocar alguma
restrição no autoriz server para para
não permitir né Essa essa instituição de
transacionar se ela não fizer o dcm
Então vai ter que ter um código de erro
informando que o que que não não foi
permitido por exemplo gerar um token ou
alguma coisa desse tipo é aí vai
depender muito do autoriz server tá eh
eu tav fazendo a implementação aqui
então Muito
provavelmente se você colocar no seu
autorisation server que a criptografia
do id token ela é obrigatória
eh na hora que ele for retornar o Code e
o ID token ele vai dar algum problema n
na hora desse callback essa instituição
vai deixar de receber callback tá eh não
sei se tem uma medida ser normatizada
Entre todos os authorization servers mas
isso deveria ser o comportamento
esperado porque o authorization server
vai tentar obrigar a criptografia uma
vez não encontrada a chave ele vai dar
problema mas para reduzir o índice de
service desk É melhor ter um uma
resposta padronizada senão vai ter ter
bilateral é um código de erro né tem o f
ele tem agora não vou lembrar o nome dos
Campos específicos né mas no
redirecionamento quando ele faz
redirecionamento de volta ele fala foi
um erro e a descrição do erro está aqui
tá Então já existe um é o erro e o erro
description tá então o padrão de Como
retornar o erro já está claro o erro
que eu acredito que não seja padronizado
o eror é padronizado então nessa
situação o eror é invalid client por
exemplo não sei dizer tá é invalid
client Mas aí o er description você
poderia P ID token não
criptografado ou falta de chave de
criptografia ele é um campo aberto né
Camp beleza
obrigado
Rogélio
pessoal bom dia não só queria pedir se
fosse possível né Eu acho que vocês
poderi fazer um contato com
a para que eles portem esse procedimento
de submissão das certificações português
né Eu acho que tinha que adaptado até no
site do Open finance Brasil assim como a
gente tem por exemplo as certificações
dos apis né porque assim um custo muito
al paga eh eh pras certificações né Eh
eu acho que isso aqui é o maior PF do
mundo né E então eu acho que a gente
deveria eh buscar esse tratamento mínimo
né que Open foundation deveria fazer e
deveria gerar um procedimento eh
específico para a gente fazer as
submissões das certificações para que a
gente fizesse sub certificações no nosso
idioma né dizer minimamente um roteiro
eh eh no nosso idioma tá então fica aí o
registro porque não não não me pareceu
adequado a gente ficar eh eh pagando um
custo que a gente paga para ficar ir lá
navegando no site ficar ali Ah não é
aqui ali eu acho que isso tem que estar
roteirizado muito bem rizado para que a
gente até possa cumprir também o prazo
para submeter as certificações aí
eh né No No tempo que é solicitado aí
pela governança
Obrigada pela sugestão Rogério a gente
vai levar para eles e ver o que a gente
consegue fazer
aqui Eduardo Oi bom dia
ã eu não vi a presença aí de algum tipo
de slide algum tipo de descrição sobre
este período de convivência tá ele tá
ali de 25/03 a 14/04 e e ele né O que
que o que que do perfil do perfil novo
vale o que que do perfil velho Vale ok
que que que aquilo que está no perfil
velho deve continuar valendo
ah Porém tem coisas que vão vão ser um
big bang por exemplo a remoção das clins
elas vão
acontecer a partir de um de um
determinado momento né então eu acho que
seria importante ter um uma
descrição lugar ali
documentado como que esse período de
convivência vai funcionar Tá Inclusive a
questão do dcm eu posso fazer um dcm com
os parâmetros antigos ainda por exemplo
Ah eu quero adicionar o scop tô sei lá
começando como iniciador de pagamento eu
queria só adicionar o escopo de payments
ã e eu ainda não tô no perfil no no novo
perfil como é que funciona esse tipo de
de coisa é um Per pequeno mas é um
período né e a gente quer que tudo
funcione nesse período também acho que é
importante essa essa
documentação tentando traduzir aliel até
pelo que tá na tela Tá edard esse
período de convivência é do dia 25/03 a
14/04 ou seja pouco mais ali de duas
semanas tá É nesse intervalo de tempo
que os dois perfis ainda vão
conviver e aí dia 14 tá ali a data
cravada que aí o perfil anterior acaba
tá eh Então
e se tiver alguma dúvida além dessa a
gente pode até trabalhar em cima mas é
este é o período de convivência que que
nós temos tá então a partir de 25/03 As
instituições
detentoras devem estar com um perfil
novo disponível para dcm de todas as
receptoras e iniciadoras E essas
receptoras as iniciadoras devem começar
o seu dcm em 25/03 né preferencialmente
não são obrigados mas preferencialmente
para que se elas encontrem algum
problema elas tenham esse período aqui
em que eh o perfil anterior ainda estará
funcionando para corrigir esse problema
bilateralmente tá então esse é o período
de convivência ali então a partir de
25/03 todo todos todos os clies precisam
estar fazendo dcm h no novo perfil
exato que aquela data que tá ali ó
entrada em produção 25/03 é quando todos
os detentores devem ter o seu autoriz
server atendendo a no
perfil Ok é isso Que é que é importante
Deixar
claro o client Não não pode mais fazer o
dcm antigo a partir de
25/03 ah e também a questão de das
outras das outras regras é importante
que esteja bem Claras assim que a partir
de qual momento que ela
efetivamente tá tá lá e não vai Mud né
Não pode ser as duas
Mais acho que tem um ponto aqui Eduardo
só para complementar eu não diria aí
Rani me corrije tá que é proibido você
fazer um dcm com o perfil antigo até
14/04 se você tá em período de ajuste
você precisar fazer um outro dcm e esse
é
Esse é o período justamente para você
conseguir fazer o dcm com todo mundo
para novo perfil teve algum problema
precisou voltar pro antigo voltar pro
novo algo do gênero aqui a hora é agora
não diria que é proibido tá o que é
esperado das instituições é que elas
aproveitem esse período e façam o dcm
para o novo perfil mas não acho que tem
uma restrição de você não pode fazer com
o antigo isso aí é por isso que eu
saliento a importância de definir essa
regra Ah e tá bem documentada porque
porque a minha interpretação era olha a
partir do dia
25 eu vou colocar lá em produção que que
é o perfil novo que vai aceitar no dcm e
quem vier fazer dcm comigo vai vai ter
que fazer no novo porque eu já não
espero porque o antigo Quem já tem já
tem né ah não precisaria fazer nenhuma
atualização
Ah então bom então isso tem que tá bem
documentados de 20 poucos dias ali mas é
um período que que vai ter bastante dcm
acontecendo e a gente quer evitar o
máximo possível de de erros
né justo pessoal acho que a a gente pode
montar aqui como próximos passos também
uma orientação melhor ali mais pensando
no período de GO Live de
convivência orientações ali que que
precisa ajustar no diretório
pegando até o feedback aqui aí a gente
tenta elaborar algo e assim que possível
compartilha com vocês também Rani Você
acha que a
gente você acha não acho que pode ser
trabalhado sim entre as equipes a gente
disponibiliza isso para ecosistema seja
atz de informa
né
é pessoal mais dúvidas aqui a gente vai
consolidar depois o que tá no chat e o
que não tiver e o que não tiver sido
respondido o que tiver sido respondido a
gente vai consolidar e mandar no arquivo
e o que não tiver sido respondido ainda
a gente acrescenta
eh AD dúvida não mas tem pedido se se
der tempo pode ser o
Paulo os teste plan de de fap né para
authorization server seria possível
exemplificar também Um test plan de R
P Paulo você consegue puxar aí eu não
vou conseguir executar o plano porque eu
não não tenho controle sobre um cliente
de Fato né Eu uso o motor mas eu vou
mostrar aonde seria e como seria a
configuração tá
eh Então deixa eu ver aqui o
temo bom
eh
aqui no RP ele tem uma sessão separada
né pros testes deine par eu tenho aqui
o o rine par do Open finance Brasil
T acho que ele tá com RP geral não tá
Paulo é tá com RP geral esse aqui e tem
a a variação então para jwt p aqui vai
ter o oidc né da Open ID Ah e aqui que
menona que é o Brasil tá o Banking
Brasil
ã PL respon tá então aqui teria as
configurações para você fazer né então
ã a chave de de assinatura do Servidor
eh um cliente que já esteja registrado
nesse servidor um segundo cliente
ã e aqui um editen
de criptografia né O que a chave que vai
ser usado algoritmo chave que vai ser
usado paraa criptografia do Ed token
então ã provavelmente não vai conseguir
rodar nenhum teste Mas seria similar né
então é é a ponta do cliente como
funciona no modelo de RP o motor de
conformidade ele vai atuar como
autorisation server ele é o autorisation
server e você vai ter que comandar ã o
seu cliente na se software cliente para
executar o que authorization server está
pedindo então ele vai te dar instruções
né olha começa o processo
eh fazendo redirecionamento pro fap e
ele vai medir como você retorna né ã e
ele tem instruções de logs a serem
coletados né Eh e ações a serem
executadas tá então no final do teste
além do resultado aqui do do motor de
conformidade né além de ter passado em
todos os testes você precisa extrair
para cada módulo o log que dá a
instrução que que que traz a instrução
que ele pede por exemplo olha eu nesse
cenário eu vou testar quando
eh eu não encontro um uma chave de
criptografia né então me mostra o log do
seu cliente né do seu servidor de
cliente ali dizendo que o erro foi que
faltou a chave de criptografia então ele
começa a pedir evidências algumas vezes
print mas geralmente logs tá
eh eu não conso V testar porque eu não
tenho um cliente que eu consiga ficar
simulando passo a passo Tá mas eh A
ideia é essa é a mesma
tá sei se ajuda eu não sei se a gente
fez um workshop an passado ali Fabi com
a Open R que eles demonstraram a gente
pode tentar resgatar tá para para
transmitir mas eu não tenho certeza se
eles entraram no RP mandar uma olhada
uhum S quero que a gente Compartilhe o
link também também ali com o arquivo de
das perguntas
leg Maravilha Obrigadão
Paulo pessoal queria aproveitar aqui
então e agradecer
eh todo mundo agradecer GT segurança que
tá puxando a frente aqui dessa mudança
que a ideia é simplificar o ecossistema
eh agradecer todos os membros agradecer
espe ente os coordenadores rier réis
também eh queria agradecer o pessoal das
instituições obrigada a todo mundo que
participou aqui do workshop eh qualquer
dúvida estamos à disposição e a gente
vai se falando vejo vocês na sexta-feira
no workshop de transferências
inteligentes Bom dia Maravilha obrigado
obrigado pessoal Bom dia a todos
Obrigado t