A Política Nacional de Acesso ao Seguro, que tem como objetivo democratizar e ampliar o acesso da população aos serviços de seguros, é uma iniciativa intimamente alinhada aos princípios do Open Insurance
Por Robson Carvalho Machado
Dentre as várias propostas do plano de regulação da SUSEP (Superintendência de Seguros Privados) para 2024, uma merece destaque especial:
A Política Nacional de Acesso ao Seguro, que visa democratizar e ampliar o acesso da população aos serviços de seguros, iniciativa intimamente alinhada aos princípios do Open Insurance (ambos têm como objetivos promover a inclusão, a proteção financeira, a transparência e competição, a interoperabilidade e o empoderamento do consumidor no mercado de seguros).
Desta forma, o Open Insurance surge como um grande aliado da SUSEP na realização dessa política, facilitando o acesso aos dados e serviços de forma segura e eficiente, e permitindo que os consumidores tenham uma visão mais clara e integrada de suas relações com os vários entes do mercado.
Entretanto, recentes análises técnicas, realizadas no Manual de Experiência do Cliente e no Guia de Experiência do Usuário do Open Insurance, identificaram pontos críticos que precisam ser abordados e alinhados para não comprometerem o sucesso da iniciativa.
Dentre os pontos identificados, um merece destaque: o fato de que estes documentos indicam a necessidade de que, a cada processo de consentimento, o usuário deva ser redirecionado para o ambiente das seguradoras e realizar um novo login. Tal procedimento, embora até tenha sido incluído visando a segurança, pode se valer dos recursos tecnológicos ora disponíveis para ser aprimorado, proporcionando uma experiência mais fluida e conveniente aos usuários e mantendo ou ampliando os níveis de segurança.
Open Insurance: Objetivos e Princípios
Os normativos do Open Insurance no Brasil estabelecem uma série de objetivos e princípios que promovem uma experiência segura, eficiente e contínua para o usuário. Esses dispositivos oferecem uma base sólida para melhorias no sistema de autenticação.
A Resolução CNSP nº 415/2021 elenca como objetivos beneficiar principalmente o cliente, tornar o compartilhamento de dados seguro, ágil, preciso e conveniente e promover a concorrência. Em seu Art. 9º, a Resolução Conjunta nº 1, de 4 de maio de 2020, enfatiza a importância de uma experiência de usuário contínua e sem interrupções.
Além disso, o Manual de Segurança do Open Insurance, que detalha os controles técnicos de segurança, incluindo a gestão dos redirecionamentos para manter a segurança e a integridade dos dados do usuário estabelece, em sua seção direcionada à “Implementação de Deep Links”, que o redirecionamento deve ser feito de forma que o usuário seja autenticado usando as mesmas credenciais do aplicativo original, sem etapas adicionais que comprometam a segurança ou a experiência do usuário.
Riscos do vácuo normativo
O vácuo normativo, também conhecido como lacuna normativa, refere-se à ausência ou insuficiência de certos detalhes chave nas regulamentações com relação a determinado campo ou setor. Esse fenômeno ocorre quando as normas existentes não cobrem as situações possíveis ou não são suficientemente claros para orientar as ações e decisões dos envolvidos.
Como consequência, estes vácuos abrem a possibilidade para a ocorrência de diversas mazelas, tais como: insegurança jurídica, desconfiança dos consumidores, barreiras à inovação, desigualdade competitiva, riscos de segurança, dificuldades na interoperabilidade, resistência à adesão, desalinhamento com normas internacionais e falta de responsabilização.
Apesar de estabelecer objetivos e princípios claros, a norma não explicita um dispositivo específico que impeça que o usuário que tenha relação com várias seguradoras seja obrigado a realizar login em cada uma delas para ter acesso aos seus dados. E é aqui que a norma falha, ao não definir explicitamente a obrigatoriedade do SSO – Single Sign-On no Open Insurance.
O Single Sign-On é uma tecnologia que permite que o usuário faça login uma única vez para acessar todas as aplicações ou ambientes autorizados, sem precisar inserir suas credenciais novamente para cada novo ambiente. E essa lacuna abre um grande espaço para interpretações que podem comprometer os resultados de todo o ecossistema.
Propostas para Melhoria
A SPOC é entidade integrante do ecossistema Open Insurance e seu funcionamento exige autorização formal emitida pela SUSEP, estando ela sujeita às regras e à fiscalização desse ente. Considerando ainda o fato de que o Open Insurance utiliza as mais modernas tecnologias de autenticação, dentre elas, o OAuth 2.0 e o OpenId Connect, e que tais tecnologias combinadas ao login do cliente no ambiente do corretor credenciado como Sociedade Processadora da Ordem do Cliente (SPOC) já traz todos os requisitos para que o usuário seja considerado autenticado no Open Insurance, é razoável admitir que não existe nenhum argumento técnico que justifique a necessidade de que ele refaça sua autenticação em todas as demais entidades participantes do mesmo ecossistema.
Além de alinhar o Open Insurance aos objetivos e princípios pré-estabelecidos, aperfeiçoar o processo de autenticação tornará o sistema mais amigável e eficiente, garantindo uma experiência mais natural para o usuário e colaborando para a ampliação da adesão do segurado ao modelo Open.
Conclusão
Aprimorar a jornada do usuário alinha-se perfeitamente com os objetivos e princípios estabelecidos pelos normativos do ecossistema. É essencial que as seguradoras, os corretores credenciados como SPOC, a estrutura de governança do Opin e os órgãos reguladores trabalhem juntos para remover barreiras e garantir uma experiência eficiente, segura e sem interrupções para o consumidor.
Toda grande jornada apresenta obstáculos e não será diferente com o Open Insurance. Não é a ausência de obstáculos que define o sucesso de uma empreitada, mas sim, a capacidade de superá-los tempestivamente. A cada etapa vencida surgirão novos desafios e a cada desafio, surgirão pessoas determinadas a buscar soluções e a ajudar no sucesso dessa iniciativa. E a SUSEP terá sempre um papel crucial na orquestração do trabalho dessas pessoas, promovendo meios para que os objetivos e princípios sejam seguidos ou até mesmo, editando alterações normativas que simplifiquem e deem maior objetividade à interpretação pelos participantes e pela estrutura de governança do Opin.
* Robson Machado é integrante do Comitê Open Insurance da camara-e.net, especialista em governança de sistemas, segurança da informação e certificação digital, com mais de 30 anos de experiência no mercado de seguros. Bacharel em Administração e pós-graduado em Redes de Computadores. Escreveu o livro Certificação Digital ICP-Brasil – Os Caminhos do Documento Eletrônico, atuou como CIO na Via Internet Insurance Consulting, teve participação ativa na COTEC do Comitê Gestor da ICP-Brasil e presidiu a ONG Nação Digital.
Acesse a Openness, coluna especial do Crypto ID que trata de assuntos relacionados a dados abertos.
Camara-e.net é reconduzida à estrutura de governança do Open Finance no Brasil
Camara-e.net lança Comitê de Criptomoedas e Blockchain
Open Insurance: como funciona e quais os seus impactos no mercado?
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br
