Ir para o conteúdo principal

Integração da API de assinatura digital do Gov.Br

Integração da API de prova de vida do Gov.Br

Objetivo

Entender e avaliar a viabilidade de se utilizar o recurso do Gov.Br de reconhecimento facial nas nossas ferramentas, tendo em vista que a aplicabilidade pode ser variante e interessando ao Estado.

Justificativa

Com a assinatura do termo de parceria do Governo do Estado com o Ministério da Economia, obtivemos a oportunidade de utilizar os recursos oferecidos pelo GOV BR, como login único, assinatura digital e prova de vida. 

Propostas avaliadas

  1. Integração da API de prova de vida como recursos da atualização cadastral
  2. Integração da API de prova de vida como recursos de autenticação
  3. Não utilização da API de prova de vida

Envolvidos

  • DIEGO DA SILVA OLIVEIRA (Back-End Developer/Tech Leader)
  • KARINE NOGUEIRA DOS SANTOS (Gerente de Projetos)

Premissas

  1. A aplicação deve estar integrada ao Login Único do Gov.Br
  2. A aplicação em homologação deve estar liberada pela equipe do Ministério da Economia

Fluxo de integração da API de prova de vida

  1. Requisitando o Endpoint de autenticação codificando a informação CLIENT_ID:CLIENT_SECRET para base 64 e passando como parâmetro no header como basic auth, com isso será possível capturar o access-token.

  2. Iniciar uma transação de prova de vida.
    A Transação cria um pedido de Prova de vida para o cidadão (CPF). O Cidadão é informado via push notification no aplicativo “Gov.Br”.
    Caso a Prova de vida não seja autorizada automaticamente, o usuário (cidadão) pode autorizar por confirmação ou por biometria facial no app “Gov.Br”.

  3. Capturando a transação de prova de vida do usuário.
    A transação retornará, em caso de autorização automática com selo, no formato JSON.
    Caso o usuário realizar validação facial antes da data definida no atributo “reusar_apartir”, a transação não é autorizada automaticamente, e retornará, no formato JSON as informações

Avaliações das propostas

Integração da API de prova de vida como recursos da atualização cadastral
Prós
  1. Utilização de tecnologia mais avançada para realização de Prova de Vida, com uma base de dados de imagens sólidas capturada e mantidas pelo Tribunal Superior Eleitoral, com dados biométricos de mais de 96% dos eleitores do Estado de Rondônia, de acordo com levantamento do mesmo.

  2. Substituição de um fluxo totalmente defasado e passivo de erros ao qual a prova de vida atual, requer a verificação manual da "selfie" do servidor por um agente do estado, ao qual esse toma a decisão de aprovar ou recusar a imagem.
Contras
  1. Não garantia da execução da verificação da prova de vida no momento do pedido, precisando ser tratado e verificado pela aplicação se, e quando, a verificação de fato ocorrer.

  2. Requerer do usuário com perfil de acesso ao Gov.Br com selos prata ou acima, para poder utilizar o recurso da prova de vida pelo app.

  3. Ter o dado biométrico atualizado no Tribunal Superior Eleitoral, para que a acurácia da verificação da prova de vida seja realizada de maneira consistente.
Integração da API de prova de vida como recursos de autenticação
Prós
  1. Utilização de um recurso seguro como Two Factor Authentication

  2. Pode ser utilizado como controle biométrico para alterações de dados sensíveis
Contras
  1. Caso utilizado no processo de login, pode tornar o processo lento.

  2. Necessidade de manter cadastro biométrico no TSE regularmente atualizado.
Não utilização da API de prova de vida
Prós
  1. Não há necessidade de implementar o login único nas aplicações propostas(Sauron e Portal do Servidor)

  2. Não altera o fluxo atual de atualização cadastral

  3. Não altera o fluxo atual de autenticação e validação do usuário pelo e-mail.
Contras
  1. Continuamos utilizando um fluxo de prova de vida, que não é exatamente uma prova de vida, com validação manual por um agente do governo.

  2. Não conseguimos atender a necessidade do Iperon para validação da prova de vida dos aposentados.

  3. Caso haja a necessidade de implementar um recurso de prova de vida, precisaríamos de uma base de imagem sólida, com estudo para corrente atualização e implementação de recurso de análise de imagem trabalhando em concorrência com as aplicações.

Resultado esperado 

Após análise das avaliações propostas e das observações prós e contras a integração da API de prova de vida , é reconhecido as vantagens a adesão a este serviço, contudo com objetivo de integração ao serviço de atualização cadastral, para tornar o processo mais eficiente e tecnológico. Com base na implementação ao Serviço de autenticação (Sauron), não há vantagens em implementa-lo, tendo em vista que a habilitação de Two Factor Authentication pode ser realizada por N meios ao usuário, e com uma eficiência até mais rentável que a prova de vida do Gov.Br.

Outro ponto positivo para a opinião favorável, é a facilidade na integração com o recurso, permitindo uma flexibilidade da implementação da regra de negócio que envolve a realização da prova de vida, e a parceria que poderemos realizar com o IPERON.