Como funciona a API Open Insurance?

API Open Insurance é a tecnologia que vai permitir que os consumidores de produtos e serviços de seguros, previdência complementar aberta e capitalização autorizem o compartilhamento de suas informações entre diferentes sociedades credenciadas pela Superintendência de Seguros Privados (Susep), de forma segura, padronizada e ágil.

API, vem do inglês “Application Programming Interface”, que consiste em um conjunto de especificações de programação para acessar uma aplicação de software ou plataforma Web. Elas podem ser utilizadas para que desenvolvedores possam adicionar funcionalidades de terceiros, construir novas aplicações usando as especificações da API como base ou ainda para acelerar processos de desenvolvimento de software.

Trazendo para o nosso dia a dia, ao pesquisarmos um endereço no Google Maps, no próprio aplicativo, temos a opção de solicitar um serviço de transporte, que é feito por uma outra empresa. A integração entre essa empresa e o Google, no aplicativo, é realizada por meio de diversas APIs.

O Open Insurance tem como objetivo aumentar a competividade do mercado, tornando os produtos e serviços oferecidos pelo setor mais populares e acessíveis, melhorando também a jornada de compra do cliente, com a personalização de ofertas, com a utilização de big data.

Assim, além de permitir a comunicação padronizada entre as instituições, por fazer parte do Open Finance (composto pelo Open Banking, Open Investment e Open Insurance), é importante que esse ecossistema integrado seja composto por APIs padronizadas, de forma que as aplicações ocorram sem interferências e de forma segura para preservar as informações e garantir a agilidade e eficiência dos serviços.

Para saber mais sobre a API Open Insurance, diretrizes de desenvolvimento e implementação, assim como a importância da segurança e da padronização, é só continuar acompanhando esse post:

O que é a API Open Insurance?

A API Open Insurance é uma ponte que permite a comunicação e a troca de informações entre plataformas. Essa “ponte” só funciona porque as APIs são compostas por instruções e padrões de programação que são capazes de absorver informações com linguagem diferentes.

Dessa forma, no ecossistema do Open Insurance, não existe uma única API que poderá ser utilizada por todos os participantes, mas sim diretrizes disponíveis no Portal do Desenvolvedor, para que a API Open Insurance seja desenvolvida e utilizada para permitir o compartilhamento de dados e o desenvolvimento de novas aplicações e modelos de negócio.

Importante ressaltar que o compartilhamento de informações acontecerá somente mediante consentimento, autenticação e confirmação dos titulares. O que chama a atenção do ponto de vista da segurança na hora de desenvolver e integrar essas APIs.

Por isso, uma API Open Insurance precisa ser:

  • Segura;
  • Padronizada;
  • Escalável;
  • Simples;
  • Moderna;
  • Sustentável.

É importante considerar também o princípio da reciprocidade, que faz parte do ecossistema do Open Insurance, que indica que só é possível ter acesso aos dados se você também os fornecer. Justamente por isso, as APIs são construídas para serem abertas e devem ter os requisitos que vamos apresentar nesse post.

>>Leitura recomendada: Tudo que você precisa saber sobre o Open Insurance Brasil!

Qual a relevância das APIs para o Open Insurance?

De acordo com esse artigo da Accenture, as APIs são críticas para o desenvolvimento de soluções de Open Insurance, justamente porque elas podem agregar uma série de melhorias em relação à tecnologia, alcance do público, análise e processamento de dados, aumento da eficiência e impulsionamento de inovações.

Instituições financeiras, ainda mais com o avanço da implementação do Open Banking, tem utilizado as APIs para se tornarem mais ágeis, reduzir o tempo de lançamento de produtos no mercado e expandir seus serviços. Isso faz com que aumente a capacidade de colaborações e parcerias de forma que, de acordo com a Accenture, projetos que levavam 2 anos para serem lançados agora podem começar em questão de semanas.

Atualmente, grande parte das APIs estão focadas em aquisição e distribuição de soluções. Porém, o artigo deixa claro que há uma série de possibilidades que podem ser exploradas em outros segmentos, como de veículos, agências de viagem e de saúde, com as quais será possível gerar ofertas de embedded insurance, potencializadas pela consolidação do Open Insurance.

Uma pesquisa realizada pela Accenture mostrou que 75% dos entrevistados esperam que ecossistemas como Open Insurance sejam responsáveis por retornar o investimento em, pelo menos, 5 anos. Além disso, 52% estão ativamente procurando por novos ecossistemas e modelos de negócio e 82% concordam que esse tipo de ecossistema (Open Insurance) permite o crescimento, que não seria possível de outra forma”.

Inclusive, uma pesquisa da Celent, mostrou que as seguradoras que não conseguirem construir suas APIs perderão competividade em apenas 5 anos.

>>Leitura recomendada: Open Insurance Week 2021: confira os destaques e principais painéis do evento!

Quais são os princípios de implementação da API Open Insurance?

De acordo com o Manual de APIs do Open Insurance os princípios são:

Experiência do usuário: a experiência deve ser pensada para contemplar tanto os implementadores, quanto os consumidores das APIs.

Independência de tecnologia: as APIs devem ser implementadas ou consumidas em linguagens e/plataformas diferentes, como por exemplo, Java, Java Script, Python e Windows, Linux, Android e iOS.

Segurança: assinaturas digitais, criptografia, protocolos de autenticação, autorização, política de segurança cibernética, entre outros procedimentos e controles devem ser adotados para proteger todos os participantes do ecossistema (empresas participantes, seus clientes, consumidores de APIs e etc).

Extensibilidade: por se tratar de um ecossistema que deve estar em constante evolução, as APIs devem permitir que sejam implementados com facilidade novos endpoints, operações, parâmetros e propriedades, para atender novos casos de uso. Além disso, a recomendação sugere a adoção de padrões abertos sempre que possível.

APIs RESTful: as APIs devem atender às restrições do estilo arquitetural REST sempre que possível.

ISO 20022: as respostas das APIs devem ter como base os elementos do ISO 20022. Se houver necessidade de simplificar termos, atender caraterísticas locais (para jurisdições diferentes), esses elementos podem ser modificados.

Declaração de obrigatoriedade: Os elementos que compõem as especificações das APIs (endpoints, operações, parâmetros, propriedades de respostas etc.) devem ser explicitamente declarados como “Obrigatório”, “Opcional” ou “Condicional”, caso sejam obrigatórios apenas em certas condições.

Definições e recomendações de desenvolvimento da API Open Insurance 

Abaixo, você confere as especificações que devem ser observadas no desenvolvimento da API Open Insurance, de acordo com o Manual elaborado pela Susep.

Especificações 

  • As APIs devem ser especificadas com a versão 3.0.0 da linguagem OpenAPI;
  • As especificações das APIs devem ser analisadas com a versão 5.9.0 do software livre e de código aberto Spectral. A análise DEVE ser feita com o conjunto de regras (ruleset) padrão desta versão do Spectral. O resultado da análise não deve conter erros ou alertas;
  • É recomendado que a versão 3.0.25 do software livre e de código aberto Swagger Codegen seja utilizado para gerar o código de clientes e também o código inicial de implementações das APIs a partir de suas especificações;
  • Recomenda-se que o código gerado seja analisado com o intuito de identificar possíveis recursos da linguagem OpenAPI que foram utilizados nas especificações, mas que não são adequadamente suportados pelo Swagger Codegen e, possivelmente, por outros softwares que trabalham com especificações OpenAPI. Caso isto ocorra, deve-se avaliar se não é possível alterar as especificações para não mais fazer uso destes recursos;
  • Todos os endpoints registrados que retornem listas, caso os parâmetros sejam válidos, devem retornar a lista associada, mesmo que uma seja lista vazia. Não é considerado um retorno válido o erro 404, neste cenário, quando não houver a informação associada;
  • Todos os endpoints das APIs implementados devem ser previamente registrados no diretório de participantes.

Versionamento

As versões das especificações das APIs serão tipificadas como “major”, “minor”, “patch” e “release candidate” de acordo com os critérios a seguir:

Major: inclui novas características da implementação, mudanças, correções a serem incorporadas e que podem ser incompatíveis com versões anteriores, por exemplo, v1.0.0 e v2.0.0;

Minor: pequenas mudanças nos elementos já existentes, com manutenção da compatibilidade com as versões até a major imediatamente anterior, por exemplo, v1.1.0 e v1.2.0;

Patch: esclarecimentos às especificações minor, não incluem alterações funcionais, por exemplo, v1.1.1, v1.1.2; e

Release candidate: versões de pré-lançamento de qualquer versão futura do tipo patch, minor ou major, por exemplo, v1.0.0-rc e v1.0.0-rc2.

Definições acessórias 

A estrutura de governança do Open Insurance deverá estabelecer e publicar Portal do Open Insurance um guia de estilo de especificações de APIs contendo definições e recomendações para os elementos abaixo:

  1. Estrutura de URIs (Uniform Resource Identifiers);
  2. Cabeçalhos HTTP;
  3. Códigos de status HTTP;
  4. Convenções de corpo de requisições e respostas;
  5. Convenções de nomenclatura;
  6. Tipos de dados comuns;
  7. Paginação; e
  8. Estabilidade de identificadores.

Limites de tráfego 

As APIs deverão suportar, no mínimo:

I – 150 requisições por segundo globalmente, ou seja, independente do endereço IP (Internet Protocol) do qual provêm as requisições;

II – 250 requisições por minuto originadas de um mesmo endereço IP.

As requisições que excederem os limites poderão ser enfileiradas ou recusadas, caso em que deverão ser respondidas com o código de status HTTP 429 (Too Many Requests).

Por fim, as requisições que ultrapassarem os limites deverão ser desprezadas no cálculo do tempo de resposta das implementações das APIs.

Desempenho 

Em 95% do tempo, o tempo de resposta das APIs Open Insurance deverá ser no máximo:

  • 1000ms, caso sejam classificadas como APIs de alta prioridade;
  • 1500ms, caso sejam classificadas como APIs de média prioridade;
  • 4000ms, caso sejam APIs administrativas.

Por exemplo, em um dia que uma API da alta prioridade receba 10.000 requisições, o tempo de resposta de pelo menos 9.500 requisições deve ser inferior a 1.000ms.

Disponibilidade 

As APIs “Produtos e Serviços”, “Canais de Atendimento” e “Situação do Ambiente” deverão satisfazer requisitos mínimos de disponibilidade, são eles:

I – 85% do tempo a cada 24 horas;

II – 95% do tempo a cada 1 mês;

III – 99,5% do tempo a cada 3 meses.

Todas as diretrizes mencionadas acima, assim como as especificações fornecidas pela estrutura de governança do Open Insurance, garantem a padronização e segurança no desenvolvimento da API Open Insurance.

>> Leitura recomendada: API Financeira e Open Finance: integrando ecossistemas com inovação

Quais são as certificações necessárias para ingressar no Open Insurance?

A estrutura de governança do Open Insurance Brasil disponibilizou conjuntos de ferramentas e infraestrutura para possibilitar os processos de testes e homologação dos produtos e serviços.

Portanto, foram disponibilizados ambientes que habilitam ao participante submeter, ainda em tempo de desenvolvimento, suas implementações das APIs do Open Insurance a testes automatizados funcionais (“Motor de Conformidade Funcional”).

Além disso, a implementação de uma versão da API Open Insurance só poderá ser registrada no ambiente produtivo do Diretório, caso tenha sido certificada nos testes funcionais.

Certificado funcional

Os Certificados de Conformidade Funcional do Open Insurance Brasil permitem que a instituição demonstre que implementou com sucesso todos os elementos funcionais necessários das especificações das APIs, passando em todos os testes realizados pela Ferramenta de Conformidade Funcional.

Certificado de segurança

Os Certificados de Segurança do Open Insurance Brasil são gerenciados e publicados pela Open ID Foundation (OIDF), uma organização internacional sem fins lucrativos, voltada para desenvolvedores, fornecedores e usuários, que tem como objetivo auxiliar a comunidade, fornecendo a infraestrutura necessária e ajudando a promover a adoção ampliada do OpenID — um sistema de identificação, no qual a identidade do utilizador é dada por um token que pode ser verificado por qualquer servidor utilizando o protocolo, realizando testes da camada de segurança das aplicações das instituições participantes.

Os certificados de segurança seguem os padrões FAPI e DCR especificados para o Open Insurance Brasil.

O FAPI (Financial-grade API), é um conjunto de especificações de schemas JSON, protocolos de segurança e privacidade, que oferecem suporte para a utilização de serviços financeiros. De forma geral, o FAPI pode ser aplicado em serviços on-line que requeiram um alto nível de segurança, justamente, porque é ele quem define as regras de utilização do OAuth 2.0 e OpenID Connect.

O DCR (Dynamic Client Registration), é um protocolo que permite o registro de aplicações de clientes no servidor OAuth. Essas especificações definem como os clientes podem enviar solicitações de registro e a resposta que o servidor OAuth deve fornecer.

>>Leitura recomendada: API Gateway: como integrar aplicações e consumidores

Opus Open Insurance 

Ingressar no Open Insurance agora é um passo significativo para manter a sua relevância no mercado, aproveitando as oportunidades de inovação e criação de novos produtos, serviços e modelos de negócio.

Para tornar tudo isso realidade, você vai precisar de uma solução de Open Insurance que seja aderente à regulação e diretrizes do mercado, cumprindo todos os protocolos de segurança e gestão de consentimento. Para isso, você pode contar com o Opus Open Insurance, uma solução pronta para você fazer parte desse ecossistema.

A Opus possui uma vasta experiência no desenvolvimento de projetos de open API! Clique e saiba mais sobre o OPUS Open Insurance!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Newsletter

Insights de tecnologia para você!

Não compartilharemos seu e-mail com terceiros e também prometemos não enviar spams. Ao informar seu e-mail, você concorda com nossa Política de Privacidade.

Conteúdos relacionados

Veja nesse artigo como incluir a Inteligência Artificial no seu planejamento estratégico de TI para que ele seja adap...
Veja nesse artigo como reskilling e upskilling são fundamentais na área de TI para nos adaptarmos a era da Inteligênc...
Veja nesse artigo quando usar microsserviços, como se preparar para obter os benefícios dessa arquitetura no seu sist...