De acordo com a Superintendência de Seguros Privados (Susep), Open Insurance Brasil, ou Sistema de Seguros Aberto, é a “possibilidade de consumidores de produtos e serviços de seguros, previdência complementar aberta e capitalização permitirem o compartilhamento de suas informações entre diferentes sociedades autorizadas/ credenciadas pela Susep, de forma segura, ágil, precisa e conveniente”.
Neste ano, o Banco Central definiu que agora essa iniciativa se chama Open Finance, substituindo o Open Banking. A mudança, que é apenas nominal, facilita o entendimento do público e reforça a ideia de sistema financeiro aberto, justamente porque o Open Finance inclui produtos bancários tradicionais e também serviços financeiros como câmbio, seguros e previdência.
Por isso, a agenda de implementação do Open Insurance Brasil deve convergir com o Open Banking/Finance Brasil, para manter a interoperabilidade entre eles.
Porém, é importante ressaltar que, mesmo com essa proximidade, a área de seguros possui suas particularidades, que estão sendo consideradas na formulação das normas pela Susep e sua estrutura de governança.
Além disso, de acordo com esse artigo da Forbes, o mercado de seguros foi muito impactado pela pandemia, justamente porque muitas pessoas começaram a se preocupar mais com a saúde, proteção à vida e segurança dos bens materiais. Ou seja, as pessoas se tornaram mais propensas a adquirir um produto de seguros.
Portanto, existe uma tendência de popularização desse tipo de serviço, que deve ser potencializada pelo Open Insurance. “Ao se propor a aumentar a concorrência, o modelo também aumentará a penetração do seguro na sociedade que, no Brasil e na América Latina como um todo, é muito baixo. A proposta da Susep traz ainda um forte componente de inovação que visa permitir o surgimento de novos produtos e serviços para deixar esse mercado mais ágil e atraente para as novas gerações cada vez mais digitais”, comenta a advogada Márcia Cicarelli, em entrevista a Forbes.
O Brasil é um dos pioneiros da implementação do Open Insurance, que está prevista para finalizar em 2023. Pensando nisso, você confere nesse post os principais temas discutidos nos últimos meses sobre o assunto. Confira:
- Qual a relevância do Open Insurance Brasil?
- Quais são as fases de implementação do Open Insurance Brasil?
- Quais instituições participam do Open Insurance Brasil?
- Como o Open Insurance Brasil funciona?
- Quais são as certificações necessárias para ingressar no Open Insurance?
- Quais são os desafios tecnológicos do Open Insurance Brasil?
- Quais são as instruções de segurança do Open Insurance Brasil?
- O que é gerenciamento de identidades e acessos?
- Quais são os princípios de implementação da API Open Insurance?
- Qual o escopo de dados do Open Insurance Brasil?
- As pessoas estão dispostas a compartilhar seus dados?
- O que são as SPOC?
Qual a relevância do Open Insurance Brasil?
“Tudo começa com a demanda do cliente: cada vez mais as pessoas querem ter uma experiência digital, além de mais informação, e mais transparência. E hoje o mercado segurador ainda é complexo para a grande maioria dos brasileiros, tem produtos financeiros que nem todo mundo é próximo, usa ou conhece – ainda falta democratizar mais o acesso”, explicou Henrique Diniz, diretor de previdência da Icatu, no painel “Quais os benefícios que o Open Insurance trará para o mercado” durante a Expert 2021, publicado em matéria da Infomoney.
Isso significa que esse movimento, que se inicia com o Open Insurance, nada mais é do que uma tendência mundial de abertura de dados, como vemos, por exemplo, com o Open Data.
O estímulo à inovação e criação de novos produtos e serviços deve aumentar a competitividade no mercado, fazendo com que os participantes passem a aplicar estratégias voltadas ao consumidor. Assim, experiências personalizadas devem se tornar cada vez mais comuns.
Além disso, haverá a possibilidade de criar parcerias entre empresas, do mesmo segmento ou não, para atender melhor às necessidades dos clientes.
Para se ter uma ideia, uma pesquisa realizada pelo banco digital britânico Zopa, revelou que a parceria realizada entre o banco e a ClearScore, uma empresa de tecnologia financeira, resultou em um aumento de 37% na quantidade de usuários elegíveis para solicitar propostas de crédito no Zopa. Em apenas uma semana, mais de 43 mil usuários da ClearScore conseguiram visualizar as propostas do Zopa, algo que não estava disponível anteriormente, em uma análise de crédito pré-Open Banking.
>> Leitura recomendada: 4 tendências de novos modelos de negócio no Open Banking
Quais são as fases de implementação do Open Insurance Brasil?
De acordo com a Susep, o cronograma de implementação do Open Insurance Brasil deve acontecer da seguinte forma:
Fase 1 – Open Data
Início: Dez/21
Fim: Jun/2022
Nessa fase, devem ser compartilhadas as informações de seus canais de atendimento e de seus produtos e serviços.
Fase 2 – Compartilhamento de dados
Início: Set/2022
Fim: Jun/2023
Nessa fase, o cliente vai poder compartilhar seus dados com as seguradoras de sua preferência. O compartilhamento é feito por meio da autorização do detentor dos dados e pode ser revogado a qualquer momento.
Fase 3 – Serviços
Início: Dez/2022
Fim: Jun/2023
Nessa fase, os clientes terão acesso a serviços, incluindo iniciação de procedimentos relacionados à contratação de seguro, de plano de previdência complementar aberta ou de título de capitalização, endosso, resgate ou portabilidade de plano de previdência ou de capitalização, pagamento de sorteio, aviso de sinistro, entre outros.
Quais instituições participam do Open Insurance Brasil?
Participam apenas as seguradoras, entidades abertas de previdência complementar e sociedades de capitalização autorizadas pela Susep.
Atualmente, a participação é considerada obrigatória apenas para as sociedades incluídas nos S1 e S2.
No caso do compartilhamento de serviço de iniciação de movimentação, devem participar as sociedades iniciadoras de serviço de seguro.
Para as demais, o ingresso no Open Insurance Brasil é voluntário, desde que disponibilizem interface dedicada na condição de sociedade transmissora de dados e registrem a sua participação no diretório de participantes a ser proposta pela estrutura responsável pela governança do processo de implementação do Open Insurance.
Como o Open Insurance Brasil funciona?
O Open Insurance funciona por meio de APIs (Application Programming Interface), que funcionam como “pontes” e permitem a comunicação e a troca de informações entre plataformas.
Portanto, no sistema de Open Insurance, não existe em uma única plataforma que poderá ser utilizada por todas as instituições participantes, mas sim APIs abertas – e desenvolvidas pelas próprias instituições ou por empresas terceirizadas – que vão permitir a troca de informações e que outras instituições possam desenvolver aplicações conectadas aos sistemas financeiros.
>>Leitura recomendada: API Open Banking: como funciona e dicas de segurança
Quais são as certificações necessárias para ingressar no Open Insurance?
A estrutura de governança do Open Insurance Brasil disponibilizou conjuntos de ferramentas e infraestrutura para possibilitar os processos de testes e homologação dos produtos e serviços.
Portanto, foram disponibilizados ambientes que habilitam ao participante submeter, ainda em tempo de desenvolvimento, suas implementações das APIs do Open Insurance a testes automatizados funcionais (“Motor de Conformidade Funcional”).
Além disso, a implementação de uma versão da API Open Insurance só poderá ser registrada no ambiente produtivo do Diretório, caso tenha sido certificada nos testes funcionais.
Certificado funcional
Os Certificados de Conformidade Funcional do Open Insurance Brasil permitem que a instituição demonstre que implementou com sucesso todos os elementos funcionais necessários das especificações das APIs, passando em todos os testes realizados pela Ferramenta de Conformidade Funcional.
Certificado de segurança
Os Certificados de Segurança do Open Insurance Brasil são gerenciados e publicados pela Open ID Foundation (OIDF), uma organização internacional sem fins lucrativos, voltada para desenvolvedores, fornecedores e usuários, que tem como objetivo auxiliar a comunidade, fornecendo a infraestrutura necessária e ajudando a promover a adoção ampliada do OpenID — um sistema de identificação, no qual a identidade do utilizador é dada por um token que pode ser verificado por qualquer servidor utilizando o protocolo, realizando testes da camada de segurança das aplicações das instituições participantes.
Os certificados de segurança seguem os padrões FAPI e DCR especificados para o Open Insurance Brasil.
O FAPI (Financial-grade API), é um conjunto de especificações de schemas JSON, protocolos de segurança e privacidade, que oferecem suporte para a utilização de serviços financeiros. De forma geral, o FAPI pode ser aplicado em serviços on-line que requeiram um alto nível de segurança, justamente, porque é ele quem define as regras de utilização do OAuth 2.0 e OpenID Connect.
O DCR (Dynamic Client Registration), é um protocolo que permite o registro de aplicações de clientes no servidor OAuth. Essas especificações definem como os clientes podem enviar solicitações de registro e a resposta que o servidor OAuth deve fornecer.
>>Leitura recomendada: Quais são os benefícios do Sistema de Registro de Operações para o Open Insurance?
Quais são os desafios tecnológicos do OPIN Brasil?
Atualmente, os principais desafios tecnológicos apontados pelos participantes do Open Insurance Brasil são:
– Segurança da informação: os dados precisam trafegar no ecossistema de forma segura, para proteger tanto as informações pessoais dos clientes, quanto a credibilidade da empresa.
– Integração de sistemas: nesse sentido, estamos falando da padronização necessária para permitir a comunicação entre as seguradoras participantes, de forma que as informações possam ser compreendidas em ambos os pontos.
– Regulatório: cumprimento das normas estabelecidas pela Susep e a estrutura de governança, no que diz respeito a padronização, certificações de gestão de consentimento, infraestrutura tecnológica e condições de operação entre os integrantes do sistema.
Quais são as instruções de segurança do Open Insurance Brasil?
De acordo com o Manual de segurança do Open Insurance Brasil, considerando o objetivo de interoperabilidade entre Open Banking e Open Insurance (previsto no inciso VII do art. 3º da Resolução CNSP nº 415, de 2021), as instruções de segurança apresentam uma estrutura semelhante ao apresentado na Normativa BCB n° 99, de 2021, com adaptações necessárias para respeitar as particularidades de produtos e serviços do setor de seguros.
Além disso, está explicitado no manual que haverá revisões e atualizações periódicas, para preservar a compatibilidade com a regulamentação, bem como para incorporar os aprimoramentos decorrentes da evolução do Open Insurance e da tecnologia.
É importante ressaltar também que a Fase 1 do Open Insurance Brasil, contempla o compartilhamento de informações sobre canais de atendimento e sobre produtos disponíveis para comercialização pelas sociedades supervisionadas. Essas informações não são sigilosas e, atualmente, já podem ser acessadas pelos clientes. Entretanto, o Open Insurance vai permitir que essas informações sejam encontradas de forma estruturada e com mais facilidade.
Assim, as instruções de segurança são:
– As sociedades transmissoras de dados devem implementar controles de tráfego de entrada e saída, para permitir uma comunicação segura entre as APIs de Open Insurance.
– As sociedades devem aplicar controles de segurança que permitam a inspeção de ameaças e o bloqueio de ataques de injeção de código.
– As sociedades não devem expor os repositórios de dados utilizados no Open Insurance diretamente na internet.
– Para a comunicação segura com APIs e assinatura de mensagens no âmbito do Open Insurance, devem ser utilizados certificados digitais válidos, emitidos por autoridade certificadora participante da ICP-Brasil, de acordo com os padrões para certificação digital estabelecidos pela Estrutura Responsável pela Governança do Open Insurance. Admite-se, enquanto os certificados digitais não estiverem disponíveis, o uso de certificados digitais emitidos pelo serviço de Diretório da Estrutura Responsável pela Governança do Open Insurance.
– Os procedimentos e controles relativos à criptografia devem contemplar meios seguros de armazenamento, transferência, utilização e destruição de segredos ou chaves empregados no âmbito do Open Insurance, observada a regulamentação vigente.
– É recomendável que os segredos e as chaves utilizados para autenticar, proteger e garantir a integridade de dados sejam gerados de maneira a respeitar processos de duplo controle e tratamento de segredo (split-knowledge), armazenando registros de log que incluam data de geração, participantes e responsáveis pela custódia, quando aplicável e de forma compatível com a regulamentação vigente.
– O processo de autenticação deve ser sempre realizado por meio de canal de comunicação seguro, utilizando criptografia TLS 1.2 ou superior, em compatibilidade com a regulamentação vigente
– As sociedades devem manter trilhas de auditoria contendo, no mínimo, endereço IP de origem da chamada, porta de comunicação origem da chamada, data, hora, sistema, usuário (quando aplicável), objeto, falha ou sucesso da ação das configurações realizadas nos sistemas e APIs relacionados ao Open Insurance, observadas a legislação e regulamentação vigentes.
– No âmbito do Open Insurance, observada a regulamentação vigente, o plano de ação e resposta a incidentes deve contemplar, no mínimo, procedimentos para prevenir e responder a incidentes que possam implicar: I- acesso não autorizado; II- vazamento de dados; e III- negação de serviço.
O que é gerenciamento de identidades e acessos?
O gerenciamento de identidade e acesso (IAM) é utilizado para definir as permissões dos usuários no sistema.
No Open Insurance, quando falamos de consentimento, estamos nos referindo a permissão que o cliente concede a instituição para facilitar as autorizações internas, estas, que por sua vez, são feitas para que os colaboradores das instituições possam acessar e/ou manipular os dados de acordo com o consentimento do cliente. Diante disso, é formado um esquema de gerenciamento de identidade e acesso.
De acordo com o Manual de Serviços Prestados pela Governança do Open Insurance, o gerencialmente de identidades e acessos deverá abranger os processos de negócio envolvidos com a identificação e autorização de participação de aplicações no Open Insurance, permitindo um consumo seguro de informações.
O Diretório deverá permitir que representantes das sociedades possam cadastrá-las como participantes no Open Insurance, coletando as informações necessárias para a sua participação plena, de acordo com as respectivas modalidades de participação.
Quais são os princípios de implementação da API Open Insurance?
De acordo com o Manual de APIs do Open Insurance os princípios são:
Experiência do usuário: a experiência deve ser pensada para contemplar tanto os implementadores, quanto os consumidores das APIs.
Independência de tecnologia: as APIs devem ser implementadas ou consumidas em linguagens e/plataformas diferentes, como por exemplo, Java, Java Script, Python e Windows, Linux, Android e iOS.
Segurança: assinaturas digitais, criptografia, protocolos de autenticação, autorização, política de segurança cibernética, entre outros procedimentos e controles devem ser adotados para proteger todos os participantes do ecossistema (empresas participantes, seus clientes, consumidores de APIs e etc).
Extensibilidade: por se tratar de um ecossistema que deve estar em constante evolução, as APIs devem permitir que sejam implementados com facilidade novos endpoints, operações, parâmetros e propriedades, para atender novos casos de uso. Além disso, a recomendação sugere a adoção de padrões abertos sempre que possível.
APIs RESTful: as APIs devem atender às restrições do estilo arquitetural REST sempre que possível.
ISO 20022: as respostas das APIs devem ter como base os elementos do ISO 20022. Se houver necessidade de simplificar termos, atender caraterísticas locais (para jurisdições diferentes), esses elementos podem ser modificados.
Qual o escopo de dados do OPIN Brasil?
No Manual de escopo de dados e serviços do Open Insurance foi feito um detalhamento do escopo de dados dos canais de atendimento e dos produtos e serviços que farão parte do Open Insurance Brasil.
Em relação aos canais de atendimento, de acordo com a Resolução CNSP nº 415 e a Circular Susep nº 635, ambas de 2021, ficou estabelecido a obrigatoriedade de compartilhamento dos dados de:
- Dependências Próprias e intermediários;
- Canais Eletrônicos e telefônicos;
- Outros canais disponíveis aos clientes.
Esses dados precisam abranger, no mínimo, os divulgados na forma de dados abertos conforme a regulamentação em vigor, e atender, no mínimo, o nível de granularidade especificado no manual.
A Resolução CNSP nº 415, de 2021, estabelece a obrigatoriedade de compartilhamento de dados de produtos de seguro, previdência complementar aberta e capitalização, disponíveis para comercialização:
Planos de Previdência e Seguros de Pessoas, ambos com cobertura por sobrevivência (excluindo Seguros Dotais): dados dos planos de previdência tradicionais com cobertura de sobrevivência, planos de previdência da família “PGBL” e seguros de pessoas da família “VGBL”, individuais ou coletivos.
Seguros de pessoas (excluindo VGBL): seguros de pessoas, exceto os seguros da família “VGBL”.
Planos de Previdência com cobertura de risco
Seguros do Grupo Automóvel: produtos classificados no grupo de ramos “Automóvel”, excluindo-se o seguro Garantia Estendida-Auto.
Seguro Residencial: Incluem-se neste escopo os produtos classificados no ramo “Compreensivo Residencial”.
Seguro condomínio: produtos classificados no ramo “Compreensivo Condomínio”.
Seguro empresarial: produtos classificados no ramo “Compreensivo Empresarial”.
Seguro de Riscos Diversos, Assistência e Garantia Estendida: incluem-se nesse escopo produtos classificados nos ramos “Riscos Diversos”, “Assistência – Bens em Geral”, “Garantia Estendida – Bens em Geral” e “Garantia Estendida – Auto”.
Seguros do Grupo Responsabilidades
Seguro de Fiança Locatícia
Seguro de Garantia: produtos classificados nos ramos de “Garantia Segurado – Setor Público” e “Garantia Segurado – Setor Privado”.
Seguros gerais: Patrimonial (Lucros Cessantes, Riscos de Engenharia, Global de Bancos, Riscos Nomeados e Operacionais) e Riscos Financeiros (Riscos Diversos Financeiros, Stop Loss, Crédito Interno e Crédito a Importação).
Título de Capitalização
Além disso, foi informado no manual que as sociedades participantes têm autonomia para decidir sobre o compartilhamento de dados adicionais, desde que, claro, respeitando o consentimento do cliente.
As pessoas estão dispostas a compartilhar seus dados?
Recentemente, a pesquisa NPS Prism do setor de Seguros, realizada pela consultoria Bain & Company, entre os dias 21 de agosto e 10 de setembro, com aproximadamente 3.500 respondentes de todo o Brasil, apontou o receio que os entrevistados têm de receberem ligações de telemarketing ao compartilharem seus dados.
Entretanto, esse cenário não é novidade. A pesquisa apresentou um comparativo em relação ao Open Finance, mostrando que no 1º semestre de 2021, menos de 30% dos brasileiros tinha interesse em compartilhar seus dados. Entretanto, já no 3º trimestre de 2021 esse número aumentou para 44%, muito por conta dos investimentos em comunicação e conscientização realizados pelo setor, que abordaram temas como segurança, transparência no uso de dados e potenciais benefícios adquiridos pelos clientes.
Isso significa que os brasileiros que entendem o que é esse ecossistema tem mais que o dobro de probabilidade de compartilhar os dados financeiros.
Além disso, o próprio presidente do Banco Central, Roberto Campos Neto, afirmou que o Open Banking não tem efeitos imediatos, como o Pix, por exemplo, que é considerado um case de sucesso e inovação.
A pesquisa da Bain & Company também chama atenção para o que os 41% dispostos a compartilhar seus dados consideram na hora de fazer essa ação:
- 59% – Reputação da empresa
- 57% – Transparência sobre como utilizarão os dados
- 43% – Qualidade do atendimento que dá a seus clientes
- 38% – Benefícios oferecidos
- 23% – Recomendação de amigos ou familiares
Portanto, a evolução do Open Insurance deve mitigar essas inseguranças, de forma que o público consiga se familiarizar com essas inovações, além de utilizar os benefícios que serão proporcionados por ele.
O que são as SPOC?
O termo SPOC significa Sociedade Processadora de Ordem do Cliente.
Anteriormente, dentro do Open Insurance, essa figura era chamada de SISS (Sociedades Iniciadoras de Serviço de Seguro). Por meio da resolução CNSP Nº 450, a SUSEP divulgou a revisão da atribuição confirmando a substituição da SISS pela SPOC.
De acordo com a resolução, uma sociedade processadora de ordem do cliente é: “sociedade anônima, credenciada pela Susep como participante do Open Insurance, que provê serviço de agregação e compartilhamento de dados, painéis de informação e controle (dashboards), exclusivamente através do consentimento dado pelo cliente, ou exerce a função de meio de transmissão da ordem dada pelo cliente para serviços de iniciação de movimentação, sem deter em momento algum os recursos pagos pelo cliente ou por ele recebidos, à exceção de eventual remuneração pelo serviço”.
As sociedades processadoras de ordem do cliente devem:
I – ter, como objeto social exclusivo, a prestação de serviço de iniciação de movimentação no Open Insurance;
II – ser uma instituição iniciadora de transação de pagamento, conforme estabelecido na regulamentação do Open Finance; ou
III – ser um corretor de seguros, pessoa jurídica, devidamente habilitado na Susep.
Acima, vemos que ficou destacado na resolução um ponto muito importante: ficou determinado que corretores de seguros poderão se credenciar como SPOC, desde que cumpram as exigências estabelecidas.
OPUS Open Insurance
Ingressar no Open Insurance agora é um passo significativo para manter a sua relevância no mercado, inovando e aderindo às tendências do futuro. Para tornar tudo isso realidade, você vai precisar de uma solução de Open Insurance que seja aderente à regulação e diretrizes do mercado, cumprindo todos os protocolos de segurança e gestão de consentimento. Para isso, você pode contar com o OPUS Open Insurance, uma solução pronta para você fazer parte desse ecossistema.
A OPUS possui uma vasta experiência no desenvolvimento de projetos de open API! Clique e saiba mais sobre o OPUS Open Insurance!
