open insurance brasil

Tudo que você precisa saber sobre o Open Insurance Brasil!

De acordo com a Superintendência de Seguros Privados (Susep), Open Insurance Brasil, ou Sistema de Seguros Aberto, é a “possibilidade de consumidores de produtos e serviços de seguros, previdência complementar aberta e capitalização permitirem o compartilhamento de suas informações entre diferentes sociedades autorizadas/ credenciadas pela Susep, de forma segura, ágil, precisa e conveniente”.

O Open Insurance, assim como o Open Banking e o Open Investment, faz parte do Open Finance, que é um ecossistema integrado que possibilita o compartilhamento de dados. Por isso, a agenda de implementação do Open Insurance Brasil deve convergir com o Open Banking Brasil, para manter a interoperabilidade entre eles.

Porém, é importante ressaltar que, mesmo com essa proximidade, a área de seguros possui suas particularidades, que estão sendo consideradas na formulação das normas pela Susep e sua estrutura de governança.

Além disso, de acordo com esse artigo da Forbes, o mercado de seguros foi muito impactado pela pandemia, justamente porque muitas pessoas começaram a se preocupar mais com a saúde, proteção à vida e segurança dos bens materiais. Ou seja, as pessoas se tornaram mais propensas a adquirir um produto de seguros.

Portanto, existe uma tendência de popularização desse tipo de serviço, que deve ser potencializada pelo Open Insurance. “Ao se propor a aumentar a concorrência, o modelo também aumentará a penetração do seguro na sociedade que, no Brasil e na América Latina como um todo, é muito baixo. A proposta da Susep traz ainda um forte componente de inovação que visa permitir o surgimento de novos produtos e serviços para deixar esse mercado mais ágil e atraente para as novas gerações cada vez mais digitais”, comenta a advogada Márcia Cicarelli, em entrevista a Forbes.

O Brasil é um dos pioneiros da implementação do Open Insurance, que está prevista para finalizar em 2023. Pensando nisso, você confere nesse post os principais temas discutidos nos últimos meses sobre o assunto. Confira:

Qual a relevância do Open Insurance Brasil?

“Tudo começa com a demanda do cliente: cada vez mais as pessoas querem ter uma experiência digital, além de mais informação, e mais transparência. E hoje o mercado segurador ainda é complexo para a grande maioria dos brasileiros, tem produtos financeiros que nem todo mundo é próximo, usa ou conhece – ainda falta democratizar mais o acesso”, explicou Henrique Diniz, diretor de previdência da Icatu, no painel “Quais os benefícios que o Open Insurance trará para o mercado” durante a Expert 2021, publicado em matéria da Infomoney.

Isso significa que esse movimento, que se inicia com o Open Insurance, nada mais é do que uma tendência mundial de abertura de dados, como vemos, por exemplo, com o Open Data.

O estímulo à inovação e criação de novos produtos e serviços deve aumentar a competitividade no mercado, fazendo com que os participantes passem a aplicar estratégias voltadas ao consumidor. Assim, experiências personalizadas devem se tornar cada vez mais comuns.

Além disso, haverá a possibilidade de criar parcerias entre empresas, do mesmo segmento ou não, para atender melhor às necessidades dos clientes.

Para se ter uma ideia, uma pesquisa realizada pelo banco digital britânico Zopa, revelou que a parceria realizada entre o banco e a ClearScore, uma empresa de tecnologia financeira, resultou em um aumento de 37% na quantidade de usuários elegíveis para solicitar propostas de crédito no Zopa. Em apenas uma semana, mais de 43 mil usuários da ClearScore conseguiram visualizar as propostas do Zopa, algo que não estava disponível anteriormente, em uma análise de crédito pré-Open Banking.

>> Leitura recomendada: 4 tendências de novos modelos de negócio no Open Banking

Quais são as fases de implementação do Open Insurance Brasil?

De acordo com a Susep, o cronograma de implementação do Open Insurance Brasil deve acontecer da seguinte forma:

Fase 1 – Open Data

15/12/2021

  • Canais de atendimento de dependências próprias;
  • Canais telefônicos e eletrônicos;
  • Produtos de seguros residenciais, auto, pessoas, previdência e capitalização.

30/06/2022

  • Produtos de seguros patrimoniais;
  • Responsabilidade civil;
  • Crédito e financeiros.

30/06/2022

  • Rede referenciada;
  • Serviços e demais produtos.

Fase 2 – Compartilhamento de dados pessoais

01/09/2022

  • Dados pessoais;
  • Movimentações.

Fase 3 – Efetivação de serviços

01/12/2022

Serviços de iniciação de movimentações.

Quais instituições participam do Open Insurance Brasil?

Participam apenas as seguradoras, entidades abertas de previdência complementar e sociedades de capitalização autorizadas pela Susep.

Atualmente, a participação é considerada obrigatória apenas para as sociedades incluídas nos S1 e S2.

No caso do compartilhamento de serviço de iniciação de movimentação, devem participar as sociedades iniciadoras de serviço de seguro.

Para as demais, o ingresso no Open Insurance Brasil é voluntário, desde que disponibilizem interface dedicada na condição de sociedade transmissora de dados e registrem a sua participação no diretório de participantes a ser proposta pela estrutura responsável pela governança do processo de implementação do Open Insurance.

Como o Open Insurance Brasil funciona?

O Open Insurance funciona por meio de APIs (Application Programming Interface), que funcionam como “pontes” e permitem a comunicação e a troca de informações entre plataformas.

Portanto, no sistema de Open Insurance, não existe em uma única plataforma que poderá ser utilizada por todas as instituições participantes, mas sim APIs abertas – e desenvolvidas pelas próprias instituições ou por empresas terceirizadas – que vão permitir a troca de informações e que outras instituições possam desenvolver aplicações conectadas aos sistemas financeiros.

>>Leitura recomendada: API Open Banking: como funciona e dicas de segurança

Quais são as certificações necessárias para ingressar no Open Insurance?

A estrutura de governança do Open Insurance Brasil disponibilizou conjuntos de ferramentas e infraestrutura para possibilitar os processos de testes e homologação dos produtos e serviços.

Portanto, foram disponibilizados ambientes que habilitam ao participante submeter, ainda em tempo de desenvolvimento, suas implementações das APIs do Open Insurance a testes automatizados funcionais (“Motor de Conformidade Funcional”).

Além disso, a implementação de uma versão da API Open Insurance só poderá ser registrada no ambiente produtivo do Diretório, caso tenha sido certificada nos testes funcionais.

Certificado funcional

Os Certificados de Conformidade Funcional do Open Insurance Brasil permitem que a instituição demonstre que implementou com sucesso todos os elementos funcionais necessários das especificações das APIs, passando em todos os testes realizados pela Ferramenta de Conformidade Funcional.

Certificado de segurança

Os Certificados de Segurança do Open Insurance Brasil são gerenciados e publicados pela Open ID Foundation (OIDF), uma organização internacional sem fins lucrativos, voltada para desenvolvedores, fornecedores e usuários, que tem como objetivo auxiliar a comunidade, fornecendo a infraestrutura necessária e ajudando a promover a adoção ampliada do OpenID — um sistema de identificação, no qual a identidade do utilizador é dada por um token que pode ser verificado por qualquer servidor utilizando o protocolo, realizando testes da camada de segurança das aplicações das instituições participantes.

Os certificados de segurança seguem os padrões FAPI e DCR especificados para o Open Insurance Brasil.

O FAPI (Financial-grade API), é um conjunto de especificações de schemas JSON, protocolos de segurança e privacidade, que oferecem suporte para a utilização de serviços financeiros.  De forma geral, o FAPI pode ser aplicado em serviços on-line que requeiram um alto nível de segurança, justamente, porque é ele quem define as regras de utilização do OAuth 2.0 e OpenID Connect.

O DCR (Dynamic Client Registration), é um protocolo que permite o registro de aplicações de clientes no servidor OAuth. Essas especificações definem como os clientes podem enviar solicitações de registro e a resposta que o servidor OAuth deve fornecer.

Quais são os desafios tecnológicos do OPIN Brasil?

Atualmente, os principais desafios tecnológicos apontados pelos participantes do Open Insurance Brasil são:

– Segurança da informação: os dados precisam trafegar no ecossistema de forma segura, para proteger tanto as informações pessoais dos clientes, quanto a credibilidade da empresa.

– Integração de sistemas: nesse sentido, estamos falando da padronização necessária para permitir a comunicação entre as seguradoras participantes, de forma que as informações possam ser compreendidas em ambos os pontos.

– Regulatório: cumprimento das normas estabelecidas pela Susep e a estrutura de governança, no que diz respeito a padronização, certificações de gestão de consentimento, infraestrutura tecnológica e condições de operação entre os integrantes do sistema.

Quais são as instruções de segurança do Open Insurance Brasil?

De acordo com o Manual de segurança do Open Insurance Brasil, considerando o objetivo de interoperabilidade entre Open Banking e Open Insurance (previsto  no inciso VII do art. 3º da Resolução CNSP nº 415, de 2021), as instruções de segurança apresentam uma estrutura semelhante ao apresentado na Normativa BCB n° 99, de 2021, com adaptações necessárias para respeitar as particularidades de produtos e serviços do setor de seguros.

Além disso, está explicitado no manual que haverá revisões e atualizações periódicas, para preservar a compatibilidade com a regulamentação, bem como para incorporar os aprimoramentos decorrentes da evolução do Open Insurance e da tecnologia.

É importante ressaltar também que a Fase 1 do Open Insurance Brasil, contempla o compartilhamento de informações sobre canais de atendimento e sobre produtos disponíveis para comercialização pelas sociedades supervisionadas. Essas informações não são sigilosas e, atualmente, já podem ser acessadas pelos clientes. Entretanto, o Open Insurance vai permitir que essas informações sejam encontradas de forma estruturada e com mais facilidade.

Assim, as instruções de segurança são:

– As sociedades transmissoras de dados devem implementar controles de tráfego de entrada e saída, para permitir uma comunicação segura entre as APIs de Open Insurance.

– As sociedades devem aplicar controles de segurança que permitam a inspeção de ameaças e o bloqueio de ataques de injeção de código.

– As sociedades não devem expor os repositórios de dados utilizados no Open Insurance diretamente na internet.

– Para a comunicação segura com APIs e assinatura de mensagens no âmbito do Open Insurance, devem ser utilizados certificados digitais válidos, emitidos por autoridade certificadora participante da ICP-Brasil, de acordo com os padrões para certificação digital estabelecidos pela Estrutura Responsável pela Governança do Open Insurance. Admite-se, enquanto os certificados digitais não estiverem disponíveis, o uso de certificados digitais emitidos pelo serviço de Diretório da Estrutura Responsável pela Governança do Open Insurance.

– Os procedimentos e controles relativos à criptografia devem contemplar meios seguros de armazenamento, transferência, utilização e destruição de segredos ou chaves empregados no âmbito do Open Insurance, observada a regulamentação vigente.

– É recomendável que os segredos e as chaves utilizados para autenticar, proteger e garantir a integridade de dados sejam gerados de maneira a respeitar processos de duplo controle e tratamento de segredo (split-knowledge), armazenando registros de log que incluam data de geração, participantes e responsáveis pela custódia, quando aplicável e de forma compatível com a regulamentação vigente.

– O processo de autenticação deve ser sempre realizado por meio de canal de comunicação seguro, utilizando criptografia TLS 1.2 ou superior, em compatibilidade com a regulamentação vigente

– As sociedades devem manter trilhas de auditoria contendo, no mínimo, endereço IP de origem da chamada, porta de comunicação origem da chamada, data, hora, sistema, usuário (quando aplicável), objeto, falha ou sucesso da ação das configurações realizadas nos sistemas e APIs relacionados ao Open Insurance, observadas a legislação e regulamentação vigentes.

– No âmbito do Open Insurance, observada a regulamentação vigente, o plano de ação e resposta a incidentes deve contemplar, no mínimo, procedimentos para prevenir e responder a incidentes que possam implicar: I- acesso não autorizado; II- vazamento de dados; e III- negação de serviço.

O que é gerencialmente de identidades e acessos?

O gerenciamento de identidade e acesso (IAM) é utilizado para definir as permissões dos usuários no sistema.

No Open Insurance, quando falamos de consentimento, estamos nos referindo a permissão que o cliente concede a instituição para facilitar as autorizações internas, estas, que por sua vez, são feitas para que os colaboradores das instituições possam acessar e/ou manipular os dados de acordo com o consentimento do cliente. Diante disso, é formado um esquema de gerenciamento de identidade e acesso.

De acordo com o Manual de Serviços Prestados pela Governança do Open Insurance, o gerencialmente de identidades e acessos deverá abranger os processos de negócio envolvidos com a identificação e autorização de participação de aplicações no Open Insurance, permitindo um consumo seguro de informações.

O Diretório deverá permitir que representantes das sociedades possam cadastrá-las como participantes no Open Insurance, coletando as informações necessárias para a sua participação plena, de acordo com as respectivas modalidades de participação.

Quais são os princípios de implementação da API Open Insurance?

De acordo com o Manual de APIs do Open Insurance os princípios são:

Experiência do usuário: a experiência deve ser pensada para contemplar tanto os implementadores, quanto os consumidores das APIs.

Independência de tecnologia: as APIs devem ser implementadas ou consumidas em linguagens e/plataformas diferentes, como por exemplo, Java, Java Script, Python e Windows, Linux, Android e iOS.

Segurança: assinaturas digitais, criptografia, protocolos de autenticação, autorização, política de segurança cibernética, entre outros procedimentos e controles devem ser adotados para proteger todos os participantes do ecossistema (empresas participantes, seus clientes, consumidores de APIs e etc).

Extensibilidade: por se tratar de um ecossistema que deve estar em constante evolução, as APIs devem permitir que sejam implementados com facilidade novos endpoints, operações, parâmetros e propriedades, para atender novos casos de uso. Além disso, a recomendação sugere a adoção de padrões abertos sempre que possível.

APIs RESTful: as APIs devem atender às restrições do estilo arquitetural REST sempre que possível.

ISO 20022: as respostas das APIs devem ter como base os elementos do ISO 20022. Se houver necessidade de simplificar termos, atender caraterísticas locais (para jurisdições diferentes), esses elementos podem ser modificados.

Qual o escopo de dados do OPIN Brasil?

No Manual de escopo de dados e serviços do Open Insurance foi feito um detalhamento do escopo de dados dos canais de atendimento e dos produtos e serviços que farão parte do Open Insurance Brasil.

Em relação aos canais de atendimento, de acordo com a Resolução CNSP nº 415 e a Circular Susep nº 635, ambas de 2021, ficou estabelecido a obrigatoriedade de compartilhamento dos dados de:

  • Dependências Próprias e intermediários;
  • Canais Eletrônicos e telefônicos;
  • Outros canais disponíveis aos clientes.

Esses dados precisam abranger, no mínimo, os divulgados na forma de dados abertos conforme a regulamentação em vigor, e atender, no mínimo, o nível de granularidade especificado no manual.

A Resolução CNSP nº 415, de 2021, estabelece a obrigatoriedade de compartilhamento de dados de produtos de seguro, previdência complementar aberta e capitalização, disponíveis para comercialização:

Planos de Previdência e Seguros de Pessoas, ambos com cobertura por sobrevivência (excluindo Seguros Dotais): dados dos planos de previdência tradicionais com cobertura de sobrevivência, planos de previdência da família “PGBL” e seguros de pessoas da família “VGBL”, individuais ou coletivos.

Seguros de pessoas (excluindo VGBL): seguros de pessoas, exceto os seguros da família “VGBL”.

Planos de Previdência com cobertura de risco

Seguros do Grupo Automóvel: produtos classificados no grupo de ramos “Automóvel”, excluindo-se o seguro Garantia Estendida-Auto.

Seguro Residencial: Incluem-se neste escopo os produtos classificados no ramo “Compreensivo Residencial”.

Seguro condomínio: produtos classificados no ramo “Compreensivo Condomínio”.

Seguro empresarial: produtos classificados no ramo “Compreensivo Empresarial”.

Seguro de Riscos Diversos, Assistência e Garantia Estendida: incluem-se nesse escopo produtos classificados nos ramos “Riscos Diversos”, “Assistência – Bens em Geral”, “Garantia Estendida – Bens em Geral” e “Garantia Estendida – Auto”.

Seguros do Grupo Responsabilidades

Seguro de Fiança Locatícia

Seguro de Garantia: produtos classificados nos ramos de “Garantia Segurado – Setor Público” e “Garantia Segurado – Setor Privado”.

Seguros gerais: Patrimonial (Lucros Cessantes, Riscos de Engenharia, Global de Bancos, Riscos Nomeados e Operacionais) e Riscos Financeiros (Riscos Diversos Financeiros, Stop Loss, Crédito Interno e Crédito a Importação).

Título de Capitalização

Além disso, foi informado no manual que as sociedades participantes têm autonomia para decidir sobre o compartilhamento de dados adicionais, desde que, claro, respeitando o consentimento do cliente.

As pessoas estão dispostas a compartilhar seus dados?

Recentemente, a pesquisa NPS Prism do setor de Seguros, realizada pela consultoria Bain & Company, entre os dias 21 de agosto e 10 de setembro, com aproximadamente 3.500 respondentes de todo o Brasil, apontou o receio que os entrevistados têm de receberem ligações de telemarketing ao compartilharem seus dados.

Entretanto, esse cenário não é novidade. A pesquisa apresentou um comparativo em relação ao Open Finance, mostrando que no 1º semestre de 2021, menos de 30% dos brasileiros tinha interesse em compartilhar seus dados. Entretanto, já no 3º trimestre de 2021 esse número aumentou para 44%, muito por conta dos investimentos em comunicação e conscientização realizados pelo setor, que abordaram temas como segurança, transparência no uso de dados e potenciais benefícios adquiridos pelos clientes.

Isso significa que os brasileiros que entendem o que é esse ecossistema tem mais que o dobro de probabilidade de compartilhar os dados financeiros.

Além disso, o próprio presidente do Banco Central, Roberto Campos Neto, afirmou que o Open Banking não tem efeitos imediatos, como o Pix, por exemplo, que é considerado um case de sucesso e inovação.

A pesquisa da Bain & Company também chama atenção para o que os 41% dispostos a compartilhar seus dados consideram na hora de fazer essa ação:

  • 59% – Reputação da empresa
  • 57% – Transparência sobre como utilizarão os dados
  • 43% – Qualidade do atendimento que dá a seus clientes
  • 38% – Benefícios oferecidos
  • 23% – Recomendação de amigos ou familiares

Portanto, a evolução do Open Insurance deve mitigar essas inseguranças, de forma que o público consiga se familiarizar com essas inovações, além de utilizar os benefícios que serão proporcionados por ele.

Open Insurance ebook

O que são as SISS?

As SISS são as Sociedades Iniciadoras de Serviço de Seguro. De acordo com Vinícius Brandi, diretor da Susep, “As SISS funcionarão como elemento adicional a contribuir para a expansão e ganho de eficiência do mercado de seguros. As SISS também acrescentarão conveniência e valor à experiência do consumidor de seguros, a partir do conhecimento de seus dados históricos. Tudo baseado no emprego intensivo de tecnologia, inovação e, claro, no conhecimento circunstanciado – e consentido – de seus dados”.

Atualmente, no modelo proposto, seguradoras, corretores e corretoras poderão constituir ou se transformar em Sociedades Iniciadoras, desde que atendam aos requisitos de capital e segurança cibernética, entre outros estabelecidos na resolução.

Em complementação à Resolução CNSP nº 415, de 2021, a minuta colocada em consulta pública indica que as Sociedades Iniciadoras, como participantes de forma obrigatória no Open Insurance, devem ser credenciadas pela Susep e constituídas sob a forma de sociedade anônima.

Além disso, a proposta considera que o chamado serviço de iniciação de movimentação é destinado à experiência do cliente e, portanto, deve ser ordenado por ele. Isso inclui:

  • Contratação de seguro;
  • Contratação de plano de previdência complementar aberta;
  • Contratação de título de capitalização;
  • Endosso;
  • Resgate ou portabilidade de plano de previdência ou de capitalização;
  • Pagamento de sorteio;
  • Aviso de sinistro etc.

Outros requisitos das SISS são:

  • Patrimônio líquido superior a um milhão de reais;
  • Segurança cibernética;
  • Seguir as normas da Lei Geral de Proteção de Dados;
  • Cumprir as exigências específicas de conduta no relacionamento com os clientes.

Recentemente, a Susep reforçou que a atividade da SISS não deve ser confundida com a atividade de corretagem de seguros. “Aliás, a normatização da minuta de Resolução é clara no sentido de que as atividades a serem desenvolvidas pela SISS não espelham corretagem ou qualquer tipo de comercialização de produto securitário. O escopo da SISS é outro”, assegura o documento, assinado pela ex-superintendente do órgão regulador, Solange Vieira.

OPUS Open Insurance 

Ingressar no Open Insurance agora é um passo significativo para manter a sua relevância no mercado, inovando e aderindo às tendências do futuro. Para tornar tudo isso realidade, você vai precisar de uma solução de Open Insurance que seja aderente à regulação e diretrizes do mercado, cumprindo todos os protocolos de segurança e gestão de consentimento. Para isso, você pode contar com o OPUS Open Insurance, uma solução pronta para você fazer parte desse ecossistema.

A OPUS possui uma vasta experiência no desenvolvimento de projetos de open API! Clique e saiba mais sobre o OPUS Open Insurance!