FAQ IDCloud
Nesta FAQ, você encontrará as dúvidas mais comuns relacionadas à plataforma IDCloud
Existe algum padrão de cabeçalhos HTTP recomendado pela Unico?
Sim. A Unico recomenda que todos os cabeçalhos HTTP sigam as especificações das RFCs 7230 e 7231. Usar cabeçalhos fora dessas normas pode causar falhas nas integrações, como erros 415 (Unsupported Media Type) ou 502 (Bad Gateway), pois proxies como o Apigee podem rejeitar ou corromper as requisições, tornando difícil rastrear o problema.
Alguns erros comuns são:
Content-Encoding
inválido (ex.:utf8
em vez degzip
,deflate
,br
ouidentity
);Nomes de headers com espaços, acentos ou caracteres não-ASCII;
Valores de headers contendo caracteres de controle (CR, LF, tab);
Duplicação de headers proibidos pela RFC.
Recomendação: valide sempre, antes de enviar a requisição, se todos os cabeçalhos estão em conformidade com as RFCs 7230/7231 para garantir estabilidade e segurança na comunicação com os serviços da Unico.
A Unico recomenda fazer pinagem de certificados para integração com seus serviços?
Não. A Unico não recomenda a prática de pinagem de certificados ou cadeias de certificados. Embora a pinagem “fixe” um certificado específico na aplicação do cliente, isso pode causar indisponibilidade quando o certificado é trocado — algo que ocorre periodicamente por segurança e manutenção, mesmo que a conexão continue segura. Além disso, a pinagem não aumenta significativamente a segurança e impede a Unico de utilizar serviços modernos de proteção, como CDN, WAF e mitigação de ataques. A segurança das conexões com a Unico é garantida por certificados confiáveis emitidos por autoridades reconhecidas globalmente, auditoria pública via Certificate Transparency e padrões robustos de autenticação, como OAuth + JWT, garantindo estabilidade, resiliência e segurança nas integrações.
Por que não posso utilizar o link do by Unico em um iframe
comum, sem o uso do token fornecido na API?
iframe
comum, sem o uso do token fornecido na API?Por motivos de segurança, rastreabilidade e controle de acesso, não é permitido embutir diretamente o link do By Unico em um iframe
sem o uso do token de autenticação fornecido na resposta da nossa API.
O fluxo autorizado e suportado exige o uso de um token CSP (Content Security Policy) gerado de forma segura e atrelado à transação, ao usuário e ao contexto da requisição. Esse token é utilizado para autenticar e carregar o iframe
, garantindo a integridade e a segurança da jornada.
Riscos de utilizar links diretos (sem token):
Engenharia social e phishing: links diretos podem ser interceptados, adulterados e replicados, permitindo a simulação do fluxo legítimo em sites maliciosos.
Perda de integridade: o token assegura que o
iframe
está vinculado a um contexto legítimo e criptograficamente confiável. Sem ele, perdemos essa validação.Ausência de rastreabilidade: o token permite que cada sessão seja registrada e correlacionada com eventos internos. Ignorá-lo compromete a capacidade de auditoria e rastreamento de ações.
Exposição de segurança via CSP: abrir o
iframe
diretamente sem controle por token exigiria adicionar todos os domínios dos clientes na política de CSP, o que:aumenta o risco de enumeração de clientes;
pode ultrapassar o limite de tamanho dos headers;
ou, na pior hipótese, obrigaria a abertura total da política CSP, deixando o conteúdo vulnerável a ser embutido em qualquer site.
A decisão por exigir o token de autenticação não é apenas técnica, mas também estratégica e alinhada às melhores práticas de segurança
Consigo importar a minha base para ser processada na Unico?
Sim, é possível importar sua base de faces para processamento pelo motor da plataforma Unico IDCloud. Para isso, siga as etapas abaixo:
Comunique o responsável pela sua conta sobre a necessidade de importação da base, para garantir o suporte adequado ao processo;
Solicite uma conta de serviço específica para a operação de importação de base;
Autentique-se com essa conta de serviço para obter o token de acesso necessário;
Obtenha uma APIKey com as capacidades desejadas. Certifique-se de que:
A APIKey esteja configurada para receber imagens em formato base64 (e não encrypted);
A importação será realizada sem retorno da capacidade de Prova de Vida.
Realize as chamadas à nossa API, armazenando:
As respostas das capacidades executadas;
Os IDs de processo gerados.
A Unico possui um limite de TPS / RPM?
Sim, a Unico adota, por padrão, um limite de 10 TPS (transações por segundo) por cliente. Esse controle é essencial para garantir a estabilidade, a segurança e o bom desempenho da plataforma, especialmente em cenários de ataque DoS (Denial of Service).
Esse valor geralmente é acordado contratualmente, mas pode ser ajustado conforme a necessidade do cliente. Caso deseje aumentar o limite de TPS — seja de forma pontual (por exemplo, durante uma ação promocional ou evento sazonal) ou de forma definitiva (devido ao aumento de volume operacional) —, basta entrar em contato com o responsável pela sua conta e/ou projeto. A partir disso, nossa equipe irá orientar e operacionalizar o aumento do limite.
Importante: ao exceder o limite de TPS estipulado, as requisições adicionais receberão o código de erro 429 (Too Many Requests).
Quais as diferenças das integrações By Unico e By Client?
by Unico: Para empresas que desejam contar com um parceiro para gerenciar a experiência do usuário com melhores práticas e privacidade, além de contar com a facilidade na orquestração de fluxos com as capacidades da Unico e com a atualização automática de tecnologias, como as SDKs.
Com o by Unico, somos os responsáveis por gerenciar toda a experiência do seu usuário final, aplicando as melhores práticas de UX design e segurança, focando na otimização de conversão, enquanto cuidamos de todas as atualizações e manutenções. Pode ser utilizada tanto como uma webview ou iFrame dentro da sua aplicação, quanto no fluxo de mensagens em uma operação assíncrona (via WhatsApp, SMS e/ou E-mail).
by Client: Para empresas que desejam controlar a experiência dos usuários com frontend próprio, bem como a construção dos fluxos com as capacidades da Unico no backend junto às demais tecnologias e recursos utilizados para autenticação.
Com o by Client você tem a liberdade de criar e gerenciar a jornada do usuário final como preferir, aproveitando as capacidades da Unico no backend e integrando outras tecnologias de autenticação conforme necessário.
Quais são as capacidades do IDCloud?
As capacidades que o IDCloud oferece são: Verificação de Identidade, Alerta de comportamento, Score de risco, Prova de vida, Validação (1:1), Captura e reaproveitamento de documentos e Assinatura eletrônica.
O que é orquestração?
Orquestração no contexto da plataforma Unico IDCloud é quando em um cadastro biométrico a capacidade Verificação de Identidade ao devolver a resposta "Inconclusivo", executa a validação probabilística daquela face ser a titular do CPF com a capacidade Score de risco.
Como consigo utilizar o by Unico na minha operação?
Você pode utilizar o by Unico na sua operação de 3 maneiras distintas:
Na sua aplicação mobile através de uma Webview;
Na sua aplicação web através de um iFrame;
No fluxo de mensagens (WhatsApp, SMS e/ou E-mail).
Quais fluxos posso usar no by Unico?
É possível utilizar os seguintes fluxos no by Unico:
IDLIVE;
ID;
IDCHECK;
IDDOCS;
IDSIGN;
IDDOCSIGN;
IDCHECKSERPRO
IDTOKEN.
Saiba mais na seção Fluxos possíveis.
Quais customizações são possíveis no by Unico?
No by Unico é possível realizar customização dos seguintes itens:
Logotipo;
Cor do background do CTA;
Texto do CTA;
Arredondamento dos cantos do CTA em pixels.
Tempo para recuperar selfie do by Unico?
No by Unico, a selfie do usuário só fica disponível para consulta via REST API durante 8h após a finalização do processo biométrico. Após este período, não é possível recuperar a selfie do usuário.
Como funcionam as tecnologias de documentos?
A Tipificação funciona garantindo que o documento informado é ele mesmo (a validação é feita no layout do documento. Não é feita a documentoscopia do mesmo);
O FaceMatch funciona comparando a face da Selfie do usuário com a face do documento (o retorno pode ser
true
oufalse
);O CPF Match funciona comparando o número do CPF que foi informado no cadastro com o CPF que consta no documento (o retorno pode ser
true
oufalse
);O OCR Extração funciona extraindo os dados do documento em formato de texto a partir de uma imagem.
Posso utilizar o IDCloud de forma manual?
Sim, é possível utilizar o by Unico de forma manual.
A API do IDUnico é sincrona ou assincrona?
O retorno das informações é disponibilizado pelo IDUnico de duas formas: Síncrona ou Assíncrona. Na configuração da API Key você pode escolher como deseja se integrar.
Qual é o tempo médio de resposta (também conhecido como latência) da API para uma verificação de identidade?
O tempo médio de resposta esperado é de 3 segundos, mas este pode variar a depender da forma de utilização do produto (ex: se utiliza prova de vida, se a API Key está síncrona ou assíncrona, entre outros).
Quais sao os retornos na API do IDunico para eu tomar as decisoes de aprovar ou nao um CPF/cliente?
Os retornos da APIs dependerão da sua operação, que pode ter diferentes capacidades do IDCloud. O mais comum é tenha a Verificação de Identidade + Score de risco. Considerando o cenário mais comum, o retorno da API terá os seguintes campos:
{
"id": "ID_do_processo",
"status": status_do_processo},
"unicoId": {
"result": "resultado_do_ID"
},
"liveness": resultado_do_liveness,
"score": resultado_do_score
}
A combinação dos retornos dependerá do resultado da análise biométrica. Veja mais na seção do by Client.
Os produtos da unico tem a similaridade da serpro?
Sim, a plataforma IDCloud oferece o recurso de similaridade da Serpro, tanto via by Client quanto via by Unico. Essa funcionalidade retorna o percentual de similaridade da Serpro, comumente utilizado para fluxos de empréstimo consignado.
A Unico faz algum tipo de validação automática dos documentos capturados? Como documentoscopia?
Não, atualmente a Unico não faz documentoscopia. A Unico possui as seguintes tecnologias associadas à capacidade de de captura e reaproveitamento de documentos:
Tipificação: validamos se o layout do documento enviado é o mesmo que foi informado na API;
Extração de dados OCR: extraímos no formato de texto os dados de um documento a partir da imagem enviada;
FaceMatch: comparamos a face da selfie capturada com a face que consta no documento informado;
CPF Match: procuramos no documento informado se há o CPF que foi enviado na API.
Quais são os erros de retorno mais comuns na API do IDUnico?
Os retornos de erros mais comuns são:
400: geralmente associados a erros na requisição;
403: geralmente associados a erros de permissão;
404: quando não encontramos os dados informados;
500: erros de servidor e falhas inesperadas.
O que acontece se a captura de biometria falhar?
by Unico: o by Unico, caso haja uma falha na biometria, na própria experiência que gerenciamos o usuário consegue retentar e temos altos números de conversão.
by Client: no by Client, caso haja algum erro, seja na requisição ou mesmo para gerar o resultado da Verificação de Identidade ou Score de risco, estes erros devem ser tratados como exceptions na API por você. Para isso, orientamos que verifique os cenários possíveis e os códigos de erro na nossa documentação para mapear todos os cenários possívels.
Dúvidas?
Não encontrou algo ou ainda precisa de ajuda? Se já é um cliente ou parceiro, pode entrar em contato através da Central de Ajuda.
Atualizado