# FAQ ### Existe algum padrão de cabeçalhos HTTP recomendado pela Unico? Sim. A Unico recomenda que todos os cabeçalhos HTTP sigam as especificações das RFCs 7230 e 7231. Usar cabeçalhos fora dessas normas pode causar falhas nas integrações, como erros **415 (Unsupported Media Type)** ou **502 (Bad Gateway)**, pois proxies como o Apigee podem rejeitar ou corromper as requisições, tornando difícil rastrear o problema. Alguns erros comuns são: * `Content-Encoding` inválido (ex.: `utf8` em vez de `gzip`, `deflate`, `br` ou `identity`); * Nomes de headers com espaços, acentos ou caracteres não-ASCII; * Valores de headers contendo caracteres de controle (CR, LF, tab); * Duplicação de headers proibidos pela RFC. **Recomendação:** valide sempre, antes de enviar a requisição, se todos os cabeçalhos estão em conformidade com as RFCs 7230/7231 para garantir estabilidade e segurança na comunicação com os serviços da Unico. ### A Unico recomenda fazer pinagem de certificados para integração com seus serviços? Não. A Unico não recomenda a prática de pinagem de certificados ou cadeias de certificados. Embora a pinagem “fixe” um certificado específico na aplicação do cliente, isso pode causar indisponibilidade quando o certificado é trocado — algo que ocorre periodicamente por segurança e manutenção, mesmo que a conexão continue segura. Além disso, a pinagem não aumenta significativamente a segurança e impede a Unico de utilizar serviços modernos de proteção, como CDN, WAF e mitigação de ataques. A segurança das conexões com a Unico é garantida por certificados confiáveis emitidos por autoridades reconhecidas globalmente, auditoria pública via Certificate Transparency e padrões robustos de autenticação, como OAuth + JWT, garantindo estabilidade, resiliência e segurança nas integrações. ### Por que não posso utilizar o link do by Unico em um `iframe` comum, sem o uso do token fornecido na API? Por motivos de **segurança, rastreabilidade e controle de acesso**, **não é permitido** embutir diretamente o link do By Unico em um `iframe` sem o uso do token de autenticação fornecido na resposta da nossa API. O fluxo autorizado e suportado exige o uso de um **token CSP (Content Security Policy)** gerado de forma segura e atrelado à transação, ao usuário e ao contexto da requisição. Esse token é utilizado para autenticar e carregar o `iframe`, garantindo a integridade e a segurança da jornada. **Riscos de utilizar links diretos (sem token):** * **Engenharia social e phishing:** links diretos podem ser interceptados, adulterados e replicados, permitindo a simulação do fluxo legítimo em sites maliciosos. * **Perda de integridade:** o token assegura que o `iframe` está vinculado a um contexto legítimo e criptograficamente confiável. Sem ele, perdemos essa validação. * **Ausência de rastreabilidade:** o token permite que cada sessão seja registrada e correlacionada com eventos internos. Ignorá-lo compromete a capacidade de auditoria e rastreamento de ações. * **Exposição de segurança via CSP:** abrir o `iframe` diretamente sem controle por token exigiria adicionar todos os domínios dos clientes na política de CSP, o que: * aumenta o risco de **enumeração de clientes**; * pode **ultrapassar o limite de tamanho dos headers**; * ou, na pior hipótese, **obrigaria a abertura total da política CSP**, deixando o conteúdo vulnerável a ser embutido em qualquer site. A decisão por exigir o token de autenticação não é apenas técnica, mas também **estratégica e alinhada às melhores práticas de segurança** ### Consigo importar a minha base para ser processada na Unico? Sim, é possível importar sua base de faces para processamento pelo motor da plataforma Unico IDCloud. Para isso, siga as etapas abaixo: 1. **Comunique o responsável pela sua conta** sobre a necessidade de importação da base, para garantir o suporte adequado ao processo; 2. **Solicite uma conta de serviço específica** para a operação de importação de base; 3. **Autentique-se com essa conta de serviço** para obter o token de acesso necessário; 4. **Obtenha uma APIKey** com as capacidades desejadas. Certifique-se de que: 1. A APIKey esteja configurada para receber imagens em formato *base64* (e não *encrypted*); 2. A importação será realizada sem retorno da capacidade de Prova de Vida. 5. **Realize as chamadas à nossa API**, armazenando: 1. As respostas das capacidades executadas; 2. Os **IDs de processo** gerados. {% hint style="info" %} É essencial armazenar os IDs de processo, pois eles são necessários para utilizar capacidades como **Validação 1:1**. {% endhint %} ### A Unico possui um limite de TPS / RPM? Sim, a Unico adota, por padrão, um limite de 10 TPS (transações por segundo) por cliente. Esse controle é essencial para garantir a estabilidade, a segurança e o bom desempenho da plataforma, especialmente em cenários de ataque DoS (Denial of Service). Esse valor geralmente é acordado contratualmente, mas pode ser ajustado conforme a necessidade do cliente. Caso deseje aumentar o limite de TPS — seja de forma pontual (por exemplo, durante uma ação promocional ou evento sazonal) ou de forma definitiva (devido ao aumento de volume operacional) —, basta entrar em contato com o responsável pela sua conta e/ou projeto. A partir disso, nossa equipe irá orientar e operacionalizar o aumento do limite. **Importante**: ao exceder o limite de TPS estipulado, as requisições adicionais receberão o código de erro **429 (Too Many Requests)**. ### Quais as diferenças das integrações By Unico e By Client? **by Unico**: Para empresas que desejam contar com um parceiro para gerenciar a experiência do usuário com melhores práticas e privacidade, além de contar com a facilidade na orquestração de fluxos com as capacidades da Unico e com a atualização automática de tecnologias, como as SDKs. Com o by Unico, somos os responsáveis por gerenciar toda a experiência do seu usuário final, aplicando as melhores práticas de UX design e segurança, focando na otimização de conversão, enquanto cuidamos de todas as atualizações e manutenções. Pode ser utilizada tanto como uma webview ou iFrame dentro da sua aplicação, quanto no fluxo de mensagens em uma operação assíncrona (via WhatsApp, SMS e/ou E-mail). **by Client**: Para empresas que desejam controlar a experiência dos usuários com frontend próprio, bem como a construção dos fluxos com as capacidades da Unico no backend junto às demais tecnologias e recursos utilizados para autenticação. Com o by Client você tem a liberdade de criar e gerenciar a jornada do usuário final como preferir, aproveitando as capacidades da Unico no backend e integrando outras tecnologias de autenticação conforme necessário. ### O que é orquestração? Orquestração no contexto da plataforma Unico IDCloud é quando em um cadastro biométrico a capacidade Verificação de Identidade ao devolver a resposta "Inconclusivo", executa a validação probabilística daquela face ser a titular do CPF com a capacidade Score de risco. ### Como consigo utilizar o by Unico na minha operação? Você pode utilizar o by Unico na sua operação de 3 maneiras distintas: * Na sua aplicação mobile através de uma Webview; * Na sua aplicação web através de um iFrame; * No fluxo de mensagens (WhatsApp, SMS e/ou E-mail). ### Quais customizações são possíveis no by Unico? No by Unico é possível realizar customização dos seguintes itens: * Logotipo; * Cor do background do CTA; * Texto do CTA; * Arredondamento dos cantos do CTA em pixels. ### Como funcionam as tecnologias de documentos? * A Tipificação funciona garantindo que o documento informado é ele mesmo (a validação é feita no layout do documento. Não é feita a documentoscopia do mesmo); * O FaceMatch funciona comparando a face da Selfie do usuário com a face do documento (o retorno pode ser `true` ou `false`); * O CPF Match funciona comparando o número do CPF que foi informado no cadastro com o CPF que consta no documento (o retorno pode ser `true` ou `false`); * O OCR Extração funciona extraindo os dados do documento em formato de texto a partir de uma imagem. ### Posso utilizar o IDCloud de forma manual? Sim, é possível utilizar o by Unico de forma manual. ### A API do IDUnico é sincrona ou assincrona? O retorno das informações é disponibilizado pelo IDUnico de duas formas: Síncrona ou Assíncrona. Na configuração da API Key você pode escolher como deseja se integrar. ### Qual é o tempo médio de resposta (latência) da API para uma verificação de identidade? O tempo médio de resposta esperado é de 3 segundos, mas este pode variar a depender da forma de utilização do produto (ex: se utiliza prova de vida, se a API Key está síncrona ou assíncrona, entre outros). ### Quais sao os retornos na API do IDunico para eu tomar as decisoes de aprovar ou nao um CPF/cliente? Os retornos da APIs dependerão da sua operação, que pode ter diferentes capacidades do IDCloud. O mais comum é tenha a Verificação de Identidade + Score de risco. Considerando o cenário mais comum, o retorno da API terá os seguintes campos: ```json { "id": "ID_do_processo", "status": status_do_processo}, "unicoId": { "result": "resultado_do_ID" }, "liveness": resultado_do_liveness, "score": resultado_do_score } ``` ### Os produtos da unico tem a similaridade da serpro? Sim, a plataforma IDCloud oferece o recurso de similaridade da Serpro, tanto via by Client quanto via by Unico. Essa funcionalidade retorna o percentual de similaridade da Serpro, comumente utilizado para fluxos de empréstimo consignado. ### A Unico faz algum tipo de validação automática dos documentos capturados? Como documentoscopia? Não, atualmente a Unico não faz documentoscopia. A Unico possui as seguintes tecnologias associadas à capacidade de de captura e reaproveitamento de documentos: * Tipificação: validamos se o layout do documento enviado é o mesmo que foi informado na API; * Extração de dados OCR: extraímos no formato de texto os dados de um documento a partir da imagem enviada; * FaceMatch: comparamos a face da selfie capturada com a face que consta no documento informado; * CPF Match: procuramos no documento informado se há o CPF que foi enviado na API. ### Quais são os erros de retorno mais comuns na API do IDUnico? Os retornos de erros mais comuns são: * 400: geralmente associados a erros na requisição; * 403: geralmente associados a erros de permissão; * 404: quando não encontramos os dados informados; * 500: erros de servidor e falhas inesperadas. ### O que acontece se a captura de biometria falhar? **by Unico**: o by Unico, caso haja uma falha na biometria, na própria experiência que gerenciamos o usuário consegue retentar e temos altos números de conversão. **by Client**: no by Client, caso haja algum erro, seja na requisição ou mesmo para gerar o resultado da Verificação de Identidade ou Score de risco, estes erros devem ser tratados como exceptions na API por você. Para isso, orientamos que verifique os cenários possíveis e os códigos de erro na nossa documentação para mapear todos os cenários possívels. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://devcenter.unico.io/unico-idcloud/product-guides/product-guides-ptbr/help-and-faq/faq.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.