Ir para conteúdo principal
Todas as coleçõesDocCheck
Validação de Cadastro de Apostadores
Validação de Cadastro de Apostadores

Portaria SPA/MF nº 722, bet, apostas, facematch, liveness, onboarding, validação de documentos, OCR

Lidia avatar
Escrito por Lidia
Atualizado há mais de uma semana

Guia para atendimento à portaria SPA/MF n.º 722 (02/mai/2024)

Para o mínimo atendimento dos requisitos técnicos relacionados com o cadastro dos apostadores brasileiros, (novos e já pré existentes), descritos na portaria SPA/MF n.º 722 de 02 de maio de 2024, publicada no Diário Oficial da União em 03 de maio de 2024 (DOU- Seção 1 - Edição Extra B), a Exato Digital recomenda a implementação do procedimento abaixo. Em caso de dúvidas, entre em contato com nosso suporte pelo: [email protected].

1- No momento de um novo cadastro ou login de usuário cadastrado antes da regulamentação, solicitar pelo menos as informações abaixo, além de outras necessárias/desejadas pelo operador ou plataforma. Nesta etapa, ainda não existe envolvimento da Exato Digital e as informações estão sendo solicitadas e capturadas exclusivamente pela plataforma.

  • Número do CPF;

  • Nome completo, indicando ao usuário que deve ser como presente na Receita Federal, sem abreviações;

  • Data de nascimento, indicando ao usuário que deve ser como presente na Receita Federal;

  • Endereço de e-mail, indicando ao usuário que não pode ser um e-mail temporário.

  • Telefone celular com código de área (DDI e DDD).

2- No formulário da etapa acima, a Exato Digital recomenda o uso de alguma tecnologia de human interactive proof (captcha), por exemplo hCaptcha e ReCaptcha, dificultando assim a robotização de cadastros por terceiros mal intencionados;

3- A plataforma pode optar por solicitar o CPF do usuário e realizar o "auto-complete" do nome e data de nascimento, visando agilidade no cadastro. A Exato Digital não recomenda essa abordagem, pois isso torna fácil que o usuário mal intencionado utilize um gerador de CPFs e informe um documento que não é dele, aumentando o risco de furto de informações e também o custo da integração. De acordo com a portaria em questão, isso também pode ser considerado irregular pois pulará a etapa de confirmação dos dados pelo próprio usuário. Em todo caso, utilizar a API IdentityValidation, de forma server-side, caso ainda assim o operador/plataforma deseje realizar o "auto-complete" - a Exato recomenda o uso dos campos mascarados retornados pela API: FullNameMasked e DateOfBirthMasked para evitar usuários mal intencionados utilizando a plataforma para furto de informações;

4- A plataforma deve realizar uma validação básica dos dados informados pelo usuário antes de seguir com o processo, verificando se trata-se de um CPF com dígitos verificadores válidos, conforme este exemplo de biblioteca para JavaScript, se o nome completo possui pelo menos duas palavras e dois caracteres em cada palavra (removendo espaços em branco), se a data de nascimento é um dia válido e se é maior de 18 anos e se o e-mail está em formato correto, de acordo com esse exemplo de lógica para validação de endereço de e-mail. Essas validações podem ser feitas server-side ou client-side (Javascript), de acordo com a preferência da plataforma. A Exato Digital ainda não é envolvida nesta etapa;

5- Caso os dados tenham passado na validação básica acima, realizar uma chamada server-side* na API IdentityValidation, passando o CPF, nome completo, data de nascimento, endereço de e-mail e IP do usuário final (não o IP da plataforma), além de idioma e token de acesso/segurança.

6- A API da Exato Digital conferirá os dados informados pelo usuário e retornará códigos e mensagens de erro (uma ou mais) que devem ser interpretados de forma server-side pela plataforma e exibidos ao usuário (se necessário). A Exato também retornará um UID da chamada, que pode ser passado nas chamadas seguintes do processo. Exemplos de retornos possíveis:

  • CPF inexistente;

  • Nome não corresponde ao CPF informado. Deve ser informado como na Receita Federal;

  • Data de nascimento não corresponde ao CPF informado. Deve ser informada como na Receita Federal;

  • CPF com óbito;

  • CPF de menor de idade.

7- Dependendo do acordado com o cliente, a Exato Digital também pode validar o e-mail do usuário para identificar se trata-se de uma conta temporária ou se o IP está em alguma lista de proxies ou na localidade desejada (Brasil). Essas validações são opcionais, podem incrementar algum tempo extra na resposta final, podem gerar falsos positivos (por exemplo no caso de uso de VPN pelo usuário) e dificultar cadastros. Portanto, o operador/plataforma deve decidir com cuidado em realizá-las ou não;

8- Caso o operador/plataforma deseje, a Exato Digital possui APIs para envio de SMS/WhatsApp com código de segurança, para que o usuário confirme que está em posse do número de celular, caso esse número tenha sido solicitado na etapa #1;

9- Caso a chamada da API na etapa #6 tenha retornado TransactionResultTypeCode = 1 (Success), a plataforma deve realizar uma chamada server-side na API DocCheck, passando as informações abaixo, para que seja iniciado o processo de validação facial com prova de vida, além da coleta de um documento. Essa chamada de API vai retornar um link através do qual o usuário deve iniciar o processo de validação facial.

Apesar de possível, a Exato Digital não recomenda o uso do DocCheck sem as etapas anteriores, pois isso pode gerar grande custo adicional para os operadores no caso de usuários mal intencionados, além da impossibilidade da plataforma coletar os dados iniciais do usuário em seu próprio ambiente/banco de dados.

  • CPF, previamente coletado e validado pela API IdentityValidation na etapa #5

  • UID da chamada anterior na IdentityValidation (opcional)

  • URL para retorno do usuário no fim do processo

  • IP do usuário final, não da plataforma (opcional)

  • Parâmetros opcionais

10- O DocCheck pode opcionalmente validar a face do usuário contra bases governamentais, além de conferir contra o documento informado pelo usuário. Porém, isso possui custo adicional substancial, além de não garantir totalmente o match, pois ele é sempre feito por similaridade. Caso o operador/plataforma deseje realizar essa validação adicional, o gerente da conta deve ser informado para que possa habilitar a funcionalidade, além de informar os parâmetros corretos;

11- Caso já exista uma validação em processo de revisão (pelo operador) para o usuário, a API retornará com o código REQUER_VALIDACAO_MANUAL, impossibilitando o usuário de realizar uma nova validação. Isso é importante para evitar abusos por tentativa e erro de usuários mal-intencionados;

12- Ao acionar o link gerado na etapa #9, o usuário será direcionado para o ambiente da Exato Digital. Nesse ambiente ele será guiado no processo de captura de imagem facial e imagens do documento de identificação. Esta parte do processo acontece no ambiente da Exato Digital, principalmente para facilitar a integração pela plataforma, que do contrário teria grande desenvolvimento do seu lado;

13- O DocCheck fará as seguintes validações:

  • Uma pessoa viva se apresentou para coletar a imagem da face;

  • O rosto da pessoa que se apresentou é compatível com a foto da pessoa no documento apresentado;

  • O nome, CPF e data de nascimento presentes no documento apresentado são compatíveis com as informações encontradas para aquele CPF na Receita Federal;

  • O nome do usuário não se encontra em listas de restrições (relatório de PLDFT/AMLTF);

Opcionalmente o DocCheck pode validar a imagem do rosto e documento do usuário contra bases governamentais (add-on). A Exato Digital não realiza documentoscopia do documento informado pelo usuário, apenas OCR automático;

14- O processo de validação do DocCheck pode ser acompanhado através de uma URL de WebHook informada à Exato Digital no momento do cadastro, ou através de polling no endpoint de consulta da validação de identidade. Esse endpoint recebe como parâmetro o valor do campo document_hmac_hash retornado pela API de gerar URL referenciada no passo #9

15- O DocCheck da Exato Digital nunca reprova automaticamente o usuário. O usuário poderá ser aprovado automaticamente, dentro das tolerâncias estabelecidas, ou enviado para revisão do operador. Em caso de revisão, o operador deve tomar a decisão de aprovar ou rejeitar (descartar) o usuário pelo painel de controle da Exato Digital.

*Nunca realizar chamadas client-side (Javascript) às APIs da Exato Digital, pois isso expõe o token de acesso/segurança do operador/plataforma.

Isto respondeu à sua pergunta?