FAQ IDCloud

Existe algum padrão de cabeçalhos HTTP recomendado pela Unico?

Sim. A Unico recomenda que todos os cabeçalhos HTTP sigam as especificações das RFCs 7230 e 7231. Usar cabeçalhos fora dessas normas pode causar falhas nas integrações, como erros 415 (Unsupported Media Type) ou 502 (Bad Gateway), pois proxies como o Apigee podem rejeitar ou corromper as requisições, tornando difícil rastrear o problema.

Alguns erros comuns são:

• Content-Encoding inválido (ex.: utf8 em vez de gzip, deflate, br ou identity);

• Nomes de headers com espaços, acentos ou caracteres não-ASCII;

• Valores de headers contendo caracteres de controle (CR, LF, tab);

• Duplicação de headers proibidos pela RFC.

Recomendação: valide sempre, antes de enviar a requisição, se todos os cabeçalhos estão em conformidade com as RFCs 7230/7231 para garantir estabilidade e segurança na comunicação com os serviços da Unico.

A Unico recomenda fazer pinagem de certificados para integração com seus serviços?

Não. A Unico não recomenda a prática de pinagem de certificados ou cadeias de certificados. Embora a pinagem “fixe” um certificado específico na aplicação do cliente, isso pode causar indisponibilidade quando o certificado é trocado — algo que ocorre periodicamente por segurança e manutenção, mesmo que a conexão continue segura. Além disso, a pinagem não aumenta significativamente a segurança e impede a Unico de utilizar serviços modernos de proteção, como CDN, WAF e mitigação de ataques. A segurança das conexões com a Unico é garantida por certificados confiáveis emitidos por autoridades reconhecidas globalmente, auditoria pública via Certificate Transparency e padrões robustos de autenticação, como OAuth + JWT, garantindo estabilidade, resiliência e segurança nas integrações.

Por que não posso utilizar o link do by Unico em um iframe comum, sem o uso do token fornecido na API?

Por motivos de segurança, rastreabilidade e controle de acesso, não é permitido embutir diretamente o link do By Unico em um iframe sem o uso do token de autenticação fornecido na resposta da nossa API.

O fluxo autorizado e suportado exige o uso de um token CSP (Content Security Policy) gerado de forma segura e atrelado à transação, ao usuário e ao contexto da requisição. Esse token é utilizado para autenticar e carregar o iframe, garantindo a integridade e a segurança da jornada.

Riscos de utilizar links diretos (sem token):

• Engenharia social e phishing: links diretos podem ser interceptados, adulterados e replicados, permitindo a simulação do fluxo legítimo em sites maliciosos.

• Perda de integridade: o token assegura que o iframe está vinculado a um contexto legítimo e criptograficamente confiável. Sem ele, perdemos essa validação.

• Ausência de rastreabilidade: o token permite que cada sessão seja registrada e correlacionada com eventos internos. Ignorá-lo compromete a capacidade de auditoria e rastreamento de ações.

• Exposição de segurança via CSP: abrir o iframe diretamente sem controle por token exigiria adicionar todos os domínios dos clientes na política de CSP, o que:

  • aumenta o risco de enumeração de clientes;

  • pode ultrapassar o limite de tamanho dos headers;

  • ou, na pior hipótese, obrigaria a abertura total da política CSP, deixando o conteúdo vulnerável a ser embutido em qualquer site.

A decisão por exigir o token de autenticação não é apenas técnica, mas também estratégica e alinhada às melhores práticas de segurança

Consigo importar a minha base para ser processada na Unico?

Sim, é possível importar sua base de faces para processamento pelo motor da plataforma Unico IDCloud. Para isso, siga as etapas abaixo:

1. Comunique o responsável pela sua conta sobre a necessidade de importação da base, para garantir o suporte adequado ao processo;

2. Solicite uma conta de serviço específica para a operação de importação de base;

3. Autentique-se com essa conta de serviço para obter o token de acesso necessário;

4. Obtenha uma APIKey com as capacidades desejadas. Certifique-se de que:

   1. A APIKey esteja configurada para receber imagens em formato base64 (e não encrypted);

   2. A importação será realizada sem retorno da capacidade de Prova de Vida.

5. Realize as chamadas à nossa API, armazenando:

   1. As respostas das capacidades executadas;

   2. Os IDs de processo gerados.

A Unico possui um limite de TPS / RPM?

Sim, a Unico adota, por padrão, um limite de 10 TPS (transações por segundo) por cliente. Esse controle é essencial para garantir a estabilidade, a segurança e o bom desempenho da plataforma, especialmente em cenários de ataque DoS (Denial of Service).

Esse valor geralmente é acordado contratualmente, mas pode ser ajustado conforme a necessidade do cliente. Caso deseje aumentar o limite de TPS — seja de forma pontual (por exemplo, durante uma ação promocional ou evento sazonal) ou de forma definitiva (devido ao aumento de volume operacional) —, basta entrar em contato com o responsável pela sua conta e/ou projeto. A partir disso, nossa equipe irá orientar e operacionalizar o aumento do limite.

Importante: ao exceder o limite de TPS estipulado, as requisições adicionais receberão o código de erro 429 (Too Many Requests).

Quais as diferenças das integrações By Unico e By Client?

by Unico: Para empresas que desejam contar com um parceiro para gerenciar a experiência do usuário com melhores práticas e privacidade, além de contar com a facilidade na orquestração de fluxos com as capacidades da Unico e com a atualização automática de tecnologias, como as SDKs.

Com o by Unico, somos os responsáveis por gerenciar toda a experiência do seu usuário final, aplicando as melhores práticas de UX design e segurança, focando na otimização de conversão, enquanto cuidamos de todas as atualizações e manutenções. Pode ser utilizada tanto como uma webview ou iFrame dentro da sua aplicação, quanto no fluxo de mensagens em uma operação assíncrona (via WhatsApp, SMS e/ou E-mail).

by Client: Para empresas que desejam controlar a experiência dos usuários com frontend próprio, bem como a construção dos fluxos com as capacidades da Unico no backend junto às demais tecnologias e recursos utilizados para autenticação.

Com o by Client você tem a liberdade de criar e gerenciar a jornada do usuário final como preferir, aproveitando as capacidades da Unico no backend e integrando outras tecnologias de autenticação conforme necessário.

Quais são as capacidades do IDCloud?

As capacidades que o IDCloud oferece são: Verificação de Identidade, Alerta de comportamento, Score de risco, Prova de vida, Validação (1:1), Captura e reaproveitamento de documentos e Assinatura eletrônica.

O que é orquestração?

Orquestração no contexto da plataforma Unico IDCloud é quando em um cadastro biométrico a capacidade Verificação de Identidade ao devolver a resposta "Inconclusivo", executa a validação probabilística daquela face ser a titular do CPF com a capacidade Score de risco.

Como consigo utilizar o by Unico na minha operação?

Você pode utilizar o by Unico na sua operação de 3 maneiras distintas:

• Na sua aplicação mobile através de uma Webview;

• Na sua aplicação web através de um iFrame;

• No fluxo de mensagens (WhatsApp, SMS e/ou E-mail).

Quais fluxos posso usar no by Unico?

É possível utilizar os seguintes fluxos no by Unico:

• IDLIVE;

• ID;

• IDCHECK;

• IDDOCS;

• IDSIGN;

• IDDOCSIGN;

• IDCHECKSERPRO

• IDTOKEN.

Saiba mais na seção Fluxos possíveis.

Quais customizações são possíveis no by Unico?

No by Unico é possível realizar customização dos seguintes itens:

• Logotipo;

• Cor do background do CTA;

• Texto do CTA;

• Arredondamento dos cantos do CTA em pixels.

Tempo para recuperar selfie do by Unico?

No by Unico, a selfie do usuário só fica disponível para consulta via REST API durante 8h após a finalização do processo biométrico. Após este período, não é possível recuperar a selfie do usuário.

Como funcionam as tecnologias de documentos?

• A Tipificação funciona garantindo que o documento informado é ele mesmo (a validação é feita no layout do documento. Não é feita a documentoscopia do mesmo);

• O FaceMatch funciona comparando a face da Selfie do usuário com a face do documento (o retorno pode ser true ou false);

• O CPF Match funciona comparando o número do CPF que foi informado no cadastro com o CPF que consta no documento (o retorno pode ser true ou false);

• O OCR Extração funciona extraindo os dados do documento em formato de texto a partir de uma imagem.

Posso utilizar o IDCloud de forma manual?

Sim, é possível utilizar o by Unico de forma manual.

A API do IDUnico é sincrona ou assincrona?

O retorno das informações é disponibilizado pelo IDUnico de duas formas: Síncrona ou Assíncrona. Na configuração da API Key você pode escolher como deseja se integrar.

Qual é o tempo médio de resposta (também conhecido como latência) da API para uma verificação de identidade?

O tempo médio de resposta esperado é de 3 segundos, mas este pode variar a depender da forma de utilização do produto (ex: se utiliza prova de vida, se a API Key está síncrona ou assíncrona, entre outros).

Quais sao os retornos na API do IDunico para eu tomar as decisoes de aprovar ou nao um CPF/cliente?

Os retornos da APIs dependerão da sua operação, que pode ter diferentes capacidades do IDCloud. O mais comum é tenha a Verificação de Identidade + Score de risco. Considerando o cenário mais comum, o retorno da API terá os seguintes campos:

{
   "id": "ID_do_processo",
   "status": status_do_processo},
   "unicoId": {
       "result": "resultado_do_ID"
   },
   "liveness": resultado_do_liveness,
   "score": resultado_do_score
}

A combinação dos retornos dependerá do resultado da análise biométrica. Veja mais na seção do by Client.

Os produtos da unico tem a similaridade da serpro?

Sim, a plataforma IDCloud oferece o recurso de similaridade da Serpro, tanto via by Client quanto via by Unico. Essa funcionalidade retorna o percentual de similaridade da Serpro, comumente utilizado para fluxos de empréstimo consignado.

A Unico faz algum tipo de validação automática dos documentos capturados? Como documentoscopia?

Não, atualmente a Unico não faz documentoscopia. A Unico possui as seguintes tecnologias associadas à capacidade de de captura e reaproveitamento de documentos:

• Tipificação: validamos se o layout do documento enviado é o mesmo que foi informado na API;

• Extração de dados OCR: extraímos no formato de texto os dados de um documento a partir da imagem enviada;

• FaceMatch: comparamos a face da selfie capturada com a face que consta no documento informado;

• CPF Match: procuramos no documento informado se há o CPF que foi enviado na API.

Quais são os erros de retorno mais comuns na API do IDUnico?

Os retornos de erros mais comuns são:

• 400: geralmente associados a erros na requisição;

• 403: geralmente associados a erros de permissão;

• 404: quando não encontramos os dados informados;

• 500: erros de servidor e falhas inesperadas.

O que acontece se a captura de biometria falhar?

by Unico: o by Unico, caso haja uma falha na biometria, na própria experiência que gerenciamos o usuário consegue retentar e temos altos números de conversão.

by Client: no by Client, caso haja algum erro, seja na requisição ou mesmo para gerar o resultado da Verificação de Identidade ou Score de risco, estes erros devem ser tratados como exceptions na API por você. Para isso, orientamos que verifique os cenários possíveis e os códigos de erro na nossa documentação para mapear todos os cenários possívels.

Dúvidas?​

Não encontrou algo ou ainda precisa de ajuda? Se já é um cliente ou parceiro, pode entrar em contato através da Central de Ajuda.