Sistema Descentralizado de Identidade para Financiamento Comercial

É super importante criar um sistema que permita que diferentes sistemas de identidade funcionem juntos de forma integrada, para redes comerciais que atravessam fronteiras

Isso é especialmente verdadeiro quando vários países e organizações têm as suas próprias formas de verificar a identidade de alguém. Uma infraestrutura de identidade composable permite uma abordagem cooperativa, facilitando para empresas e indivíduos a navegação nessas redes complexas.

As redes de financiamento comercial têm um problema. Os seus processos conheça o seu cliente ou KYC são completamente redundantes. Isto significa que, quando uma empresa quer fazer uma transação comercial, tem de passar pelo processo de verificação todas as vezes, mesmo que seja com alguém com quem já tenha trabalhado antes.

Como resultado, pode demorar 11 dias para que tudo seja resolvido e, 100% das vezes, o processo de verificação tem de ser repetido para contrapartes que eles já conhecem. Isso atrasa tudo. Causa um impasse nas operações, levando a atrasos no financiamento.

Criámos um sistema de identidade descentralizado baseado num modelo de consórcio. Este sistema usa um tipo de verificação chamado Credenciais W3C, juntamente com algo chamado divulgação seletiva BBS+. Isso significa que as pessoas podem usar as credenciais em locais sem ter que partilhar mais informações do que o necessário, e tudo fica dentro das regras das leis e regulamentos relevantes.

Foram feitos grandes avanços na simplificação do processo de conhecimento do cliente. Por exemplo, o tempo necessário para concluir o ciclo caiu de 11 dias para 2. Uma queda de 82%.

Foram feitos alguns avanços importantes na simplificação do processo de conhecer o seu cliente:

• •Tempo para completar o ciclo: redução de 82% (de 11 dias para 2)
• •Repita o trabalho de verificação: redução de 89%
• •Precisão da verificação de sanções: melhoria de 86%

A plataforma processa mais de 12.000 transações por mês. É extremamente confiável, com uma taxa de disponibilidade de 99,97%. Quando é necessária uma revogação, ela se espalha pela rede em menos de cinco minutos.

Complexidade do financiamento comercial

O financiamento comercial envolve uma rede de relações entre importadores, exportadores, empresas de transporte e bancos. Para que os negócios aconteçam, essas partes precisam confiar umas nas outras, o que geralmente é feito através de:

• •Cartas de crédito
• •Fatorização de faturas
• •Lançamentos de carga

O problema é que cada instituição tem de verificar a identidade e a propriedade das partes e garantir que elas não constam em nenhuma lista negra.

O mundo da documentação comercial é um pouco confuso. Com tantos países e regras diferentes, não é de admirar que as coisas se tornem complicadas quando se trata de verificar toda a documentação. Os bancos, por exemplo, mantêm as suas listas de clientes, enquanto as empresas de logística fazem as suas próprias verificações sobre com quem estão a trabalhar.

Quando as empresas fazem negócios além-fronteiras, muitas vezes lidam com grandes quantias de dinheiro. Se cometerem erros e não seguirem as regras, podem enfrentar multas. Para evitar isso, os reguladores exigem que essas empresas:

• •Fica a par de com quem eles estão a fazer negócios
• •Fica de olho nas listas negras
• •Ser capaz de mostrar o que foi feito

O problema é que agora tudo se baseia em papelada, o que cria bolsões de informação. Isso dificulta o bom funcionamento das empresas e o acompanhamento dos problemas.

O sistema atual, para conhecer o seu cliente ou KYC, tem algumas falhas que prejudicam muito o financiamento comercial. Por exemplo, as empresas têm de passar pelo processo de verificação, enviando os mesmos documentos a todos os bancos e empresas de logística com os quais trabalham.

Questões importantes

Cada uma dessas instituições faz as suas verificações de antecedentes e triagens, para sanções, o que é simplesmente redundante. Como resultado, leva 11 dias para concluir o processo KYC. Mesmo ao lidar com parceiros comerciais de longa data, todo o processo tem de ser repetido do zero todas as vezes.

Durante algum tempo, diferentes departamentos dentro das instituições não conseguiam partilhar informações facilmente, o que atrasava o processo de aprovação do financiamento comercial. O problema era que os bancos não conseguiam verificar rapidamente se um parceiro comercial já tinha passado pelo processo de «conheça o seu cliente» com outro banco do grupo.

A facilidade com que os dados pessoais podem ser partilhados levou a uma tendência preocupante. Informações confidenciais estão agora espalhadas por vários sistemas, deixando-nos vulneráveis a violações de segurança.

Questões de segurança de dados

• •Todos os documentos de registo corporativo que estão a ser transmitidos
• •Informações sobre propriedade beneficiária espalhadas por vários sistemas
• •Demonstrações financeiras armazenadas por várias partes
• •Ampliação significativa do âmbito das violações
• •Riscos de conformidade com as leis de proteção de dados

Desafios de conformidade

Os desafios de auditoria e conformidade surgiram porque as instituições tinham registos de documentação espalhados por todo o lado. Os reguladores queriam ver os registos de quem era quem. Como esses registos estavam espalhados por vários sistemas, era difícil:

• •Mostre que as normas de conformidade estavam a ser aplicadas de forma consistente
• •Mantenha tudo em conformidade com o que os reguladores esperavam
• •Mantenha os registos de documentação adequados

O processamento manual de documentos, em áreas como verificação e triagem de sanções, era propenso a erros, o que, por sua vez, limitava a capacidade de lidar com cargas de trabalho crescentes.

Soluções de impacto nos negócios

A introdução de um sistema de identidade descentralizado levou a uma reformulação em termos de eficiência. Num caso, conseguiu reduzir as verificações know your customer, diminuindo as despesas gerais em impressionantes 89%.

Isso foi possível porque os diferentes membros do consórcio agora podiam:

• •Reutiliza as credenciais existentes
• •Confie em contrapartes verificadas
• •Elimina processos de documentação redundantes
• •Tome decisões mais rápidas sobre financiamento comercial

Conformidade automatizada

Para reduzir os riscos de conformidade, o sistema utilizava aplicação automatizada de políticas por meio de contratos. Isso significava que apenas credenciais que atendiam às regras eram aceitas quando:

• •Emissão de cartas de crédito
• •Faturação de factoring
• •Processamento de documentos comerciais

Como resultado, a necessidade de verificações para garantir a conformidade foi eliminada, o que, por sua vez, reduziu o risco de violação dos regulamentos.

Principais melhorias

O tempo necessário para concluir o ciclo de conhecimento do cliente foi significativamente reduzido:

• •De 11 dias para menos de 2 dias
• •Grande impacto na aprovação do financiamento comercial
• •Permite que importadores e exportadores obtenham fundos mais rapidamente
• •Melhora o fluxo de caixa das empresas

Outra vantagem importante é a possibilidade de as empresas serem seletivas quanto às informações que partilham com os seus parceiros, divulgando os detalhes e mantendo em sigilo as informações comerciais confidenciais.

Segurança reforçada

É possível melhorar a postura de segurança de uma empresa tomando as seguintes medidas:

• •Usar identificadores em pares ou DIDs
• •Reduzir a quantidade de informações identificáveis armazenadas na blockchain
• •Reduzir significativamente a exposição a violações de dados
• •Mecanismos de ação rápida para revogação de credenciais

A pista de auditoria para credenciais foi otimizada usando um registo num livro-razão partilhado. Essa abordagem forneceu um registo de todas as ações, o que ajudou a cumprir os requisitos. Como resultado, a quantidade de papelada necessária para conformidade foi significativamente reduzida.

A resposta está numa rede que permite que empresas de financiamento comercial trabalhem juntas para gerir identidades. Essencialmente, essa rede é composta por partes que estão todas conectadas. Cada empresa pode usá-la para:

• •Emita credenciais vinculadas a identificadores específicos
• •Verifique as credenciais em toda a rede
• •Gerencie os ciclos de vida das credenciais
• •Mantenha a privacidade e a conformidade regulamentar

Credenciais verificáveis do W3C

O sistema W3C Verifiable Credentials foi usado para verificar identidades. Ele fez isso reunindo detalhes, como:

• •Estado da constituição da empresa
• •Informações sobre a propriedade efetiva
• •Resultados da análise de sanções
• •Status de conformidade jurisdicional

Essas credenciais foram assinadas digitalmente por pessoas em quem confiamos, o que significa que podem ser verificadas sem a necessidade de consultar os sistemas ou partilhar todos os documentos.

Tecnologia de divulgação seletiva

Quando uma empresa usa BBS+ divulgação seletiva, ela pode partilhar certos detalhes sobre si mesma sem revelar tudo. Por exemplo, ela pode precisar mostrar que está registada num determinado local. Ela não precisa revelar:

• •Exatamente quando foi registado
• •Quem é dono de que parte do negócio
• •Detalhes financeiros completos

Dessa forma, a empresa pode cumprir as regulamentações sem expor todos os seus negócios.

Estrutura da política de contratos inteligentes

Os modelos de política de contratos inteligentes são projetados para capturar as regras de conformidade que variam de acordo com a jurisdição. Eles automaticamente:

• •Verifique as credenciais para garantir que elas atendam aos requisitos
• •Aplique as políticas de forma consistente em diferentes regulamentos
• •Adapte-se aos diferentes requisitos jurisdicionais
• •Mantenha os padrões de conformidade

Gestão da infraestrutura de confiança

O sistema, em vigor gerido:

• •Rotação de chaves
• •Validade das credenciais
• •Lista de credenciais revogadas
• •Operações centralizadas da infraestrutura de confiança

Ao centralizar essa infraestrutura de confiança, ficou mais eficiente operar tudo, mantendo os benefícios da verificação. Isso permitiu que as credenciais fossem usadas em várias instituições.

Privacidade desde a concepção

O foco foi incorporar a privacidade no design. Isso foi conseguido através de:

• •Usar identificadores chamados DIDs emparelhados
• •Tornar impossível ligar os pontos entre as relações
• •Armazenar apenas o mínimo de informação necessário no livro-razão
• •Usar hashes criptográficos e detalhes de revogação
• •Dar às pessoas o controlo sobre as suas informações

A arquitetura do sistema foi construída em torno de quatro componentes principais. Esses componentes criaram identidade e também funcionaram com a infraestrutura financeira comercial existente.

Livro-razão do consórcio

O Consortium Ledger é uma rede construída sobre o Hyperledger Fabric, supervisionada por um grupo de bancos e empresas de logística participantes. Foi concebido para armazenar:

• •Documentos relacionados com a identidade
• •Registos de revogação
• •Atualizações do estado das credenciais
• •Hashes criptográficos (não dados pessoais)

Uma das vantagens deste livro-razão é que ele fornece um registo inalterável de tudo o que acontece dentro do sistema, o que ajuda no rastreamento e na segurança.

Serviço de corretagem de credenciais

O Serviço de Corretagem de Credenciais atua como um centro que supervisiona o processo de:

• •Emissão de credenciais e gestão do seu ciclo de vida
• •Acompanhar os horários de rotação das chaves
• •Integração com fontes de informação confiáveis
• •Preenchendo lacunas entre fornecedores e sistemas de KYC

Ao fazer isso, as credenciais são preenchidas com as informações atuais disponíveis, tornando-as verificáveis e confiáveis.

Mecanismo de políticas

O Policy Engine é uma estrutura contratual que codifica as regras de conformidade que variam de país para país. Isso ajuda a automatizar o processo de verificação de que tudo está em ordem para transações financeiras comerciais.

O sistema inclui modelos para:

• •Decidir se deve emitir uma carta de crédito
• •Descobrir se uma fatura é elegível para factoring
• •Determinar quando a carga pode ser liberada
• •Trabalhar em ambientes multijurisdicionais

Sistema de barramento de eventos

O event bus é um sistema baseado em Kafka que nos permite partilhar alterações, para estados como:

• •Quando as credenciais forem emitidas
• •Quando as credenciais expirarem
• •Quando as credenciais forem revogadas
• •Atualizações de estado em tempo real em todo o consórcio

Dessa forma, todos ficam atualizados com as informações sem precisar verificar constantemente o livro-razão em busca de atualizações.

Camada de integração

A ligação entre os sistemas é feita através de uma camada de APIs. Esta camada de integração faz a ponte entre:

• •Identifique a rede e os principais sistemas bancários
• •Software de documentação comercial
• •Sistemas de gestão logística
• •Fluxos de trabalho existentes sem revisão completa do sistema

Monitorização e observabilidade

Estamos a acompanhar métricas usando o Prometheus, como:

• •Quantas credenciais estão a ser emitidas e verificadas
• •Quanto tempo os processos levam para serem concluídos
• •Com que frequência as coisas dão errado
• •Indicadores de integridade do sistema

Todas essas informações são exibidas nos painéis do Grafana, facilitando a identificação de tendências e padrões. Também temos um sistema de alertas personalizado, que fica de olho nas metas de conformidade.

Design de proteção de privacidade

O sistema usa um design que emparelha relações para impedir que as organizações comparem notas, mas ainda assim permite que elas façam as verificações. Basicamente, cada organização tem o seu conjunto de IDs para lidar com parceiros, o que mantém todas as informações relacionadas à identidade separadas.

Os esquemas de assinatura BBS+ ofereciam uma maneira para as pessoas partilharem informações, a partir das suas credenciais, sem terem de revelar tudo. Isso era particularmente útil porque permitia às empresas cumprir as regulamentações e, ao mesmo tempo, manter as suas informações comerciais privadas.

O plano era implementar as coisas em etapas, começando com alguns bancos para testar o terreno. Eles lançaram programas-piloto e tudo parecia funcionar, então trouxeram:

• •Algumas empresas de logística
• •Prestadores de financiamento comercial
• •Testes em situações reais
• •Expansão gradual do consórcio

Ambiente de desenvolvimento

A equipa configurou o seu ambiente de desenvolvimento usando containerização com Docker Compose como base. Isso permitiu que eles executassem:

• •Redes Hyperledger Fabric
• •Bases de dados PostgreSQL para armazenar metadados de credenciais
• •Clusters Kafka para lidar com eventos
• •Desenvolvimento simultâneo de vários componentes

Desenvolvimento de normas

Uma equipa de especialistas, incluindo responsáveis pela conformidade e arquitetos de identidade, reuniu-se para estabelecer um conjunto de normas para credenciais. Especificamente, definiram a estrutura subjacente para:

• •Verificação de identidade
• •Propriedade efetiva
• •Autorização de sanções
• •Status de conformidade jurisdicional

Usando o esquema de credenciais W3C como guia. O objetivo era encontrar um equilíbrio entre atender às exigências e fornecer uma maneira de divulgar as informações necessárias.

Desenvolvimento de contratos inteligentes

Para o desenvolvimento de contratos, foram implementados modelos de política usando Hyperledger Fabric chaincode. Isso permitiu a codificação de regras de conformidade aplicáveis a:

• •Instrumentos de financiamento comercial
• •Várias jurisdições
• •Regras de verificação de credenciais
• •Processos de avaliação de políticas
• •Trilhas de auditoria de transações

Estratégia de teste

A estratégia de teste foi bem completa. Ela incluiu:

• •Testes básicos de unidade para funcionalidades essenciais
• •Testes de integração para uma troca de credenciais sem problemas
• •Testes completos que imitam os fluxos de trabalho do financiamento comercial
• •Teste de desempenho para volumes de transações esperados

Migração de dados

Adotamos uma abordagem para migrar os nossos registos KYC existentes usando:

• •Trabalhos de processamento em lote para extrair informações
• •Integração com sistemas antigos
• •Criação de credenciais assinadas
• •Transição operacional suave
• •Introdução de novas funcionalidades

Implementação de segurança

A segurança foi uma prioridade nesta implementação. Para atender aos requisitos, o sistema lidou com:

• •Gerenciamento de chaves para assinatura de credenciais
• •Manter o registo de revogação intacto
• •Proteção contra ataques de repetição
• •Módulos de segurança de hardware (HSMs) para operações confidenciais

Monitorização e alertas

A equipa ficou de olho em:

• •Como as credenciais estavam a ser emitidas e verificadas
• •Quaisquer atrasos ou contratempos no processo
• •Hora de emitir credenciais
• •Taxas de sucesso das tentativas de verificação
• •Velocidade de propagação da revogação pelo sistema
• •Desempenho da avaliação da política

Foram configurados alertas personalizados para sinalizar:

• •Credenciais apresentadas incorretamente
• •Tentativas de correlação
• •Questões de segurança

Mitigação de riscos

Quando se trata de mitigar riscos, a implementação incluiu redes de segurança:

• •Mecanismos de fallback para verificação de credenciais durante a manutenção
• •Substituições manuais em situações de emergência
• •Procedimentos abrangentes de recuperação de desastres
• •Prevenção da paralisação operacional

A implementação de um sistema de identidade descentralizado fez a diferença na forma como as coisas funcionavam. Melhorou mesmo:

• •Eficiência das verificações para conhecer o seu cliente
• •Precisão na conformidade
• •Impacto na experiência do cliente
• •Eficiência na colaboração institucional

Tempo de processamento do KYC

O tempo necessário para concluir o processo de conhecimento do cliente foi significativamente reduzido:

• •Antes: média de 11 dias
• •Depois: Menos de 2 dias
• •Melhoria: redução de 82%

Grande parte dessa aceleração se deve ao facto de podermos reutilizar credenciais para contrapartes que já verificámos, o que elimina muitas etapas.

Redução da verificação de duplicatas

O incómodo de verificar os clientes repetidamente é coisa do passado:

• •Antes: verificação de duplicatas 100% necessária
• •Depois: Menos de 10% de verificação de duplicatas
• •Melhoria: redução de 89% nos processos redundantes

Precisão da triagem de sanções

A precisão da triagem de sanções deu um salto à frente:

• •Antes: taxa de falsos positivos de 7%
• •Depois: Taxa de falsos positivos abaixo de 1%
• •Melhoria: 86% de melhoria na precisão

A qualidade dos dados e a aplicação automatizada mais rigorosa das regras têm sido fundamentais para alcançar este nível de precisão.

Adoção da reutilização de credenciais

A plataforma registou um aumento na reutilização, com mais de 70% das credenciais a serem reutilizadas em apenas seis meses após o lançamento. Isso sugere que os membros do consórcio realmente aderiram à ideia.

Propagação da atualização de estado

No que diz respeito ao desempenho do sistema, uma medida importante era a rapidez com que ele conseguia divulgar as alterações de estado:

• •Meta: menos de 5 minutos
• •Conquista: Consistentemente abaixo de 5 minutos
• •Média: 3,2 minutos para propagação em toda a rede

Complexidade da governança

Fazer com que várias instituições trabalhem juntas num sistema comum de governança não é fácil. Quando se trata de questões como verificação e criação de políticas, cada organização tem as suas próprias:

• •Tolerância ao risco distinta
• •Maneira de fazer as coisas
• •Requisitos de conformidade
• •Procedimentos operacionais

Para que isso funcione, é necessária uma enorme coordenação:

• •Estabelecer uma estrutura para resolver disputas
• •Definir regras de governança claras
• •Construir bases estáveis desde o início
• •Criar estabilidade do sistema a longo prazo

Adoção de tecnologia de privacidade

Quando a divulgação seletiva BBS+ surgiu, ela trouxe algumas ferramentas em termos de privacidade. No entanto, nem tudo correu bem:

• •As organizações tiveram dificuldade em determinar os níveis de divulgação
• •Entenda quando divulgar quais informações
• •Criar modelos para cenários comuns
• •Simplificar o processo de adoção da tecnologia

Depois de terem modelos para trabalhar, as instituições acharam muito mais fácil adotar a tecnologia.

Integração do sistema antigo

Quando se tratava de integração, projetar uma arquitetura API era fundamental para fazer a integração com os principais sistemas bancários e de documentação comercial funcionar:

• •Plataformas mais antigas precisavam de correções personalizadas
• •A integração demorou mais tempo do que o inicialmente previsto
• •A ponte da camada API foi essencial
• •Soluções personalizadas necessárias para compatibilidade com versões anteriores

Gestão do ciclo de vida das credenciais

À medida que o consórcio crescia, a gestão das credenciais tornava-se mais complicada:

• •O processo de rotação das chaves de assinatura tornou-se complexo
• •A revogação de chaves começou a ficar fora de controlo
• •A gestão automatizada do ciclo de vida teria evitado problemas
• •Operações em grande escala exigem abordagens sistemáticas

Avaliação do desempenho da política

O primeiro obstáculo surgiu quando a avaliação inicial da política demorou mais do que o esperado:

• •Regras complicadas que variam de acordo com o local causaram atrasos
• •Armazenamento em cache de decisões de política usadas com frequência velocidade melhorada
• •Simplificar a execução do contrato fez a diferença
• •Os tempos de resposta ficaram muito mais rápidos

Coordenação da resposta a incidentes

Quando se trata de coordenar respostas a incidentes que afetam instituições:

• •Os canais de comunicação pré-estabelecidos são essenciais
• •Procedimentos claros de escalonamento devem ser definidos
• •Planos de resposta a incidentes entre consórcios devem ser desenvolvidos durante o planeamento
• •A preparação melhora significativamente a prontidão

Desafios de adoção pelo utilizador

Não foi fácil convencer as pessoas a aderirem ao sistema:

• •É necessário muito treinamento para o gerenciamento de credenciais
• •Compreender os controlos de partilha de informações era complexo
• •O design do sistema fácil de usar foi crucial
• •Programas de formação abrangentes eram necessários
• •Uma base adequada acelera significativamente a implementação

Ao implementar sistemas, é fundamental começar por definir uma estrutura de governança, projetar uma experiência que funcione para os utilizadores e automatizar as operações tanto quanto possível.

Tecnologia de Registo Distribuído

• •Hyperledger Fabric: livro-razão distribuído projetado por consórcio para rastrear e executar contratos com desenvolvimento de contratos inteligentes

Padrões de identidade

• •Credenciais verificáveis W3C: Fundação para verificação de identidade
• •Identificadores Descentralizados (DIDs): estrutura de identidade padrão

Bibliotecas criptográficas

• •Assinaturas BBS+: Esquema de assinatura de divulgação seletiva
• •Escolha o que partilhar e o que manter em segredo

Transmissão de eventos

• •Apache Kafka: Fila de mensagens para streaming de eventos e atualizações de estado
• •Partilha de informações em tempo real entre o consórcio

Arquitetura do serviço

• •Node.js e Express: interfaces de serviço e estrutura de API
• •Arquitetura RESTful API

Armazenamento de dados

• •PostgreSQL: Armazenamento de metadados e dados operacionais
• •Solução de base de dados primária

Orquestração de contentores

• •Docker: Plataforma de contentores
• •Kubernetes: Orquestração de contentores

Pilha de observabilidade

• •Prometheus: recolha de métricas
• •Grafana: Criação e visualização de painéis

Infraestrutura de segurança

• •Módulos de segurança de hardware (HSMs): Gestão de chaves confidenciais com auditorias de segurança abrangentes
• •Guardiões das chaves de segurança digital

Abordagens de integração

• •APIs REST: Ponte entre sistemas legados
• •Mecanismos Webhook: conectividade do sistema
• •Adaptadores de integração personalizados: compatibilidade com plataformas antigas