APIX Stories POA - APIs que aceleram nossos negócios

Gente, nós vamos falar a respeito da estratégia de APIs do Sicred. Não é necessariamente um case específico, a gente vai falar efetivamente sobre as diferentes iniciativas e como a gente está tentando trazer o contexto e o uso de APIs para alavancar negócios efetivamente. Um pouquinho sobre o Sicred. O Sicred é uma cooperativa de crédito. Aqui muitos compreendem a questão de cooperativismo, é um aspecto muito forte aqui, principalmente na região sul do Brasil. Mas é uma instituição de 120 anos. De fato, é um conjunto de cooperativas, são mais de 100 cooperativas de crédito que formam o sistema Sicred. Somos uma instituição financeira que tem um compromisso social de fazer a diferença na vida dos nossos associados. E até para destacar esse movimento cooperativista, uma pesquisa recente a gente conseguiu evidenciar que onde tem atuação de cooperativas de crédito, a gente tem um aumento significativo nos empregos formais, a gente também tem um aumento significativo no número de estabelecimentos comerciais, até mesmo nas médias de salário a gente consegue evidenciar um crescimento dos negócios, um crescimento da comunidade. E é importante para a gente essa conexão com a comunidade. É um negócio sólido, temos mais de 6 milhões e meio de associados. Diferente de outras instituições financeiras, a gente não trabalha com o tema ou conceito de cliente, a gente trabalha com o conceito de associado, que é também dono do negócio, que faz parte efetivamente do sistema cooperativo financeiro e participa das decisões, participa dos resultados e sempre buscando retornar esses resultados para a região onde esse resultado foi gerado.

Falando aqui um pouquinho, apresentar esse rapaz, Kleber. Bom gente, reforçando o que o Capo falou, obrigado pelo convite, Sensedia. Aqui tem alguns russos conhecidos, né Capo? Então é sempre bom estar entre amigos. Então quem é esse gordinho aqui, pessoal, sem bullying, né? Sou o Kleber da Silveira, sou especialista em arquitetura corporativa no Cicred e também tenho uma edutech, o CoffinIT, que é responsável por trazer conhecimento e compartilhar conhecimento técnico com a comunidade. E hoje estou aqui na presença desse rapaz, né? Que passou até gel para estar aqui hoje, né? Eu sou o Márcio Capelari, trabalho no Cicred também há 17 anos. Atualmente estou responsável pela área de arquitetura corporativa. E aqui a gente tem uma brincadeira legal, assim, né? O microfone azul é do Grêmio, o microfone com a faixinha vermelha é do Colorado. Então estamos num momento bom, é importante deixar isso bem claro, né? Que a gente está num momento bom. E o nosso colega aqui, que é de Caxias, vai torcer contra, embora, né? Mas vamos lá, vamos seguir a apresentação, a gente acaba se distraindo. Vamos falar de coisa boa, né? A gente estava falando de coisa boa. Vamos lá, vamos em frente, a gente se distrai.

Então, como eu comentei, nosso objetivo aqui não é necessariamente falar sobre uma solução específica. A gente quer falar um pouquinho sobre a estratégia de APIs. E de fato, quando a gente fala em estratégia, a gente não está falando necessariamente só de uma solução. A gente não está falando necessariamente do API Gateway. A gente não está falando única e exclusivamente de um parceiro como a Sensedia. A gente está falando de uma série de elementos importantes para essa estratégia. Por exemplo, a gente traz isso, inclusive, no nosso planejamento, naquilo que são as nossas aspirações enquanto organização. Então, dentro do mapa estratégico do Cicred, cenário 2023, a gente tem aqui uma iniciativa chamada modelo de plataforma. E o modelo de plataforma, a gente tem ali algumas iniciativas importantes, como, por exemplo:

Potencializar inovações sistêmicas e locais.

Gerenciar parcerias estratégicas.

Executar estratégias de posicionamentoVocês devem ter ouvido falar do Open Finance, é algo que realmente vem para transformar o mercado financeiro e voluntária ou involuntariamente, forças de instituições financeiras a se abrirem para o mercado. E como a gente faz isso? Através de APIs. Mas a gente também não quer ser vítima da história, a gente não está aqui nessa jornada pensando, poxa vida, que dificuldade, a gente tem que entrar no Open Finance, é regulatório. Não, a gente entende que a gente tem oportunidades com o Open Finance e que a mesma plataforma, que as mesmas condições tecnológicas que alavancam o Open Finance podem, inclusive, alavancar outros negócios.

A gente começa a pensar em APIs desde o surgimento. Depois eu vou falar um pouquinho sobre o conceito de API First, mas quando a gente está construindo uma aplicação nova, a gente tem que começar a pensar nisso. E aqui a gente traz algumas perspectivas, a gente usa um mecanismo até simples, não é técnico, é muito mais analítico, é um penso em cima da API, onde a gente fala:

Se eu vou desenvolver uma API, ou se eu estou desenvolvendo um produto novo, que tipo de API eu posso desenvolver?

Qual é o interesse do desenvolvedor?

Qual é o interesse do associado, o parceiro que vai se integrar na nossa API?

E qual é o interesse efetivo do Sicred? Como a gente, de alguma forma, vai ser monetizado por isso? Ou que tipo de retorno aquela API vai nos trazer?

Por isso, a gente sai do contexto de API como recurso técnico e traz a API como produto. Não é só um recurso, ah não, legal, tem uma API, e chama REST, e a gente vai entrar no Technicase. Cara, é um produto, eu vou vender esse produto. Um exemplo, falando de futebol, a gente tem, se tornou bem forte no Brasil, as apostas esportivas, empresas de apostas, hoje tomam conta, inclusive, dos anúncios esportivos. E a gente desenvolveu uma API para se conectar com um associado vinculado a uma dessas empresas de aposta, solicitou uma API para que facilitasse o trânsito de PIX. Quando faz aposta, eu envio o dinheiro, faço um PIX, quando retiro o dinheiro, faço um PIX. E essa integração, a gente fez para a Copa do Mundo. Da Copa do Mundo até aqui, para esse cliente, que a gente não é o único operador deles, mas já trafegou mais de um bilhão de reais pela plataforma. E é um negócio que, de alguma forma, sem o uso de APIs, sem uma conectividade com o mercado, não seria possível. Então é isso, é pensar produtos como APIs.

Kleber. Então, gente, vamos falar um pouquinho da nossa jornada técnica aqui, ao longo desse tempo. O Capilare comentou sobre a Penfines, mas, lógico, APIs movem nossos negócios. Então, o primeiro princípio que a gente tem na governança de arquitetura, e nós temos mais de 700 engenheiros hoje nas linhas de desenvolvimento, é organizar o contexto de microserviços, organizar os produtos, versionamento, tudo aquilo que a gente entende que uma API como produto deve representar. Ela representa negócios, acima de tudo, e para isso a gente usa uma técnica de API First.

E aí, pessoal, API First é fácil falar, mas nem sempre é fácil fazer. Por quê? Alguém já tem um legado em casa, já tem uma integração pronta, já tem um mecanismo lá que nem sempre é análogo à API First. Mas o que é importante aqui? Um produto só é bom quando a sua API é boa. Isso parece até um dilema, mas meu produto de negócio não é bom se a API dele não for boa. Então, é o primeiro princípio que a gente tem que ter com os times de engenharia, de arquitetura e com o pessoal de negócio, que a API é parte fundamental do produto, seja para o desenvolvedor, para o consumidor, para o parceiro ou para o ecossistema como o Open Finance.

Então, premissa de arrancada. API First, vamos falar de contrato, de modelo, de esquema, vamos falar como é as respostas, vamos falar como é o modelo de dados, como vai ser a segurança em cima. API First é a primeira bandeira que os times têm que ter para pensar API como produto e tambémproduto como API. E os padrões, pessoal? Aí a gente fala de arquitetura, já vem de governança, já vem aquele carinha chato, falando, olha, como tem que ser os padrões. Então a gente vai falar de padrões, pessoal, do início ao fim dessa conversa, por quê? Porque a arquitetura governa também questões que a gente tem necessidade em relação à exposição. Por quê? Contexto privado a gente tem necessidade X, contexto público nós temos necessidade Y, para parceiros necessidade Z.

Então os padrões, pessoal, de exposição, segurança, LGPD, contexto de dado e, além do mais, autenticação, autorização, são fundamentais. Então o time de arquitetura, vamos ver mais para frente, ele é responsável por olhar para essas questões, governar isso e levar novamente, levando a complexidade para 700 pessoas que acordam e vão fazer desenvolvimento, para que elas olhem para esses padrões e cada uma não faça uma receita de bolo diferente. E é o que casa, cada casa às vezes tem um problema, tem uma receita que às vezes não é tão boa. E não só para dentro, né, Kleber? É importante que esses padrões existam para que o mercado também reconheça.

Então a gente não pode prover uma experiência legal, por exemplo, para essa API que eu descrevi do Pix, e uma experiência totalmente diferente, mesmo que seja legal também, mas ser muito diferente, vai gerar toda uma curva de aprendizado naquele consumidor da API. Então é importante ter esse penso antes da gente também sair fazendo um monte de API, né, Kleber? E até posso falar isso porque eu sou desenvolvedor, né, pessoal? Antigamente desenvolvedor não era gente, né? Agora ele é, então tem developer experience, né? Então é uma preocupação disso ser de qualidade, porque o desenvolvedor muitas vezes no parceiro vai me ajudar a gerar negócio. Se a API da empresa do Kleber é melhor de ser consumida que a empresa do Capilare, ele vai consumir a API do Kleber, né? Perfeito, Kleber. E aí, pessoal? Vai consumir a minha API. Isso aí. A API de aposta. Aposta no Caxias, pessoal, vai ganhar o gauchão.

Os padrões, pessoal, então... Com certeza a empresa de aposta vai gostar dessa aposta do Caxias. Então, gente, assim, seis pilares que nós temos que todo dia percorrer com os times de engenharia, de qualidade, de segurança, né? E isso tem que ser a Bíblia, né? Tem que ser o modelo de trabalho. Então, temos:

Integridade: isso é basicamente um princípio inicial.

Superfície de ataque: não expor informações sensíveis. A gente sabe que cyber security tem uma preocupação constante com novos tipos de ameaças, novos tipos de exploração de falhas, né? Então, isso tem que ser um ponto inicial, ainda mais que nós somos uma instituição financeira e nós tratamos com o dinheiro das pessoas, né?

Autenticação: isso basicamente nós temos hoje canais, né? Que fazem pix, pessoas que fazem apostas online, nós temos open finance compartilhando dados, nós temos questões também que vão... integrações entre parceiros, nós temos pessoal que trabalha nas cooperativas e utiliza os sistemas internos. Então, o nosso contexto de autenticação é muito vasto, né? E aí nós estamos falando de um fator, multifator de autenticação, nós estamos falando de token, estamos falando de mobile, enfim, uma série de coisas que garantem autenticidade e unicidade, né?

Privacidade: pessoal, então isso virou moda, né? LGPD, Lei Geral de Proteção de Dados, tanto na Europa como aqui, a gente não pode usar dados de forma indevida, nós temos que cuidar com quem nós compartilhamos dados, nós temos que cuidar para onde esses dados vão, como o parceiro está consumindo e, acima de tudo, né? Verificar o consentimento, né? Exatamente, se o associado consentiu para esse uso, né? Em hipótese nenhuma o dado não é do Sicred, né? O dado é da pessoa e se a pessoa entender que ela não quer compartilhar esse dado, ela não quer levar para ninguém, a gente não podemos ter esse tipo de trabalho, né?

Disponibilidade: né, pessoal? Estamos lá às três da manhã querendo pagar aquela janta ou vamos lá comprar o ingresso para ver o Caxias ganhando o Grêmio, né? A disponibilidade, pessoal, a gente não pode deixar que as APIs caiam, né? Então, a questão de operação, DevOps, SR é bastante importante, vamos falar um pouquinho depois, e às três da manhã o Pix tem que sair e se não sair as pessoas ficam chateadas, né? Então, ter SRs lá, percentis, né? Pessoal 99.9, aqueles quartis de atendimento é importantíssimo porque faz parte do nosso negócio e lembrando, né? A má experiência do usuário nem sempre é com a questão visual, muitas vezes se o aplicativo falhar, ele der problemas de uso, o usuário não vai querer utilizar mais a aplicação, né?

Auditoria: né, pessoal? Fechando, é a questão da LGPD, logs, né? Falamos em logs aqui da Sensedia, dos sistemas internos, então, quem fez a movimentação na conta, quem transferiu o dinheiro, quem fez a aposta, quem utilizou o cartão de crédito, então, esse tipo de informação tem que ter a todo momento visibilidade, se a gente precisar consultar informações de um ano... Rastreabilidade. Rastreabilidade. Quero consultar informações de anos atrás,eu tenho que ter isso em mãos, então é importante isso também ter essa preocupação com os produtos e com as APIs, né? E políticas, né, pessoal? Nada é de graça, né? E aqui a gente começa a vir a questão um pouco mais burocrática, um pouco mais de preocupação mesmo no dia a dia, né? Então, a gestão de acesso, então falamos aqui, a autenticação, autorização, quem pode ou não consumir. Então, será que o meu parceiro pode consumir os dados da conta A ou não pode consumir os dados da conta B? Será que ele tem escopo de acesso para acessar a cooperativa A ou a cooperativa B? Porque, além disso, pessoal, nós temos um modelo de cooperativismo e dados de uma cooperativa não são os mesmos de outra cooperativa, então temos que cuidar também essa questão de autorização, né?

Rate limits, nem sempre a FIFA tem aquela questão de ser trust, de ser o jogo fair play. Então, alguns parceiros ou algumas empresas podem consumir a mais. Vai reclamar da arbitragem agora. Então, é um ponto que a gente tem que se atentar, né, pessoal? Se estão consumindo a mais, consumindo a menos, eu tenho que achar uma forma de me proteger. Não posso deixar que o meu transacional, que meus produtos sofram por causa disso. Então, também os produtos têm que ter uma capacidade técnica, né? Então, nós temos teste de performance, teste de resiliência em alguns produtos e se daqui a pouco o produto não é tão resiliente, não tem uma capacidade tão grande de performance, eu tenho que também ter uma capacidade de cuidar disso, né?

Mesma coisa de throttle and burst, né, pessoal? Uma preocupação importante. Eu tenho que também, daqui a pouco, afunilar um pouco esse consumo, né? Se eu sei que meu produto também não tem uma capacidade tão grande de atendimento, eu tenho que garantir através do gate, através de outras políticas, que ele seja limitado a também não receber grande carga e eu causar um problema para os associados e todo o sistema do Secred, né?

E por mais que não seja uma política, é um penso bem importante sobre essa construção, é como é que a gente vai monetizar isso, né? É importante que esses aspectos também estejam ligados a uma monetização ou não, né? Daquela API, mas essa escolha tem que ser consciente, ela tem que ser pensada previamente no contexto da API.

Então, pessoal, a gente vai falar um pouquinho aonde que nós temos cada escopo de estratégia, né? Lembrando, pessoal, hoje temos mais de 700 desenvolvedores, engenheiros, nós temos contextos de arquitetura distribuída, microserviços, arquitetura orientada a eventos, mensageria, API REST, gRPC, então nós temos uma gama de tecnologias de comunicação leste-oeste, norte-sul, né? E para isso, né, pessoal, a gente tem que ter a preocupação de como a gente vai deixar essas APIs sendo escutadas.

Então, nós temos contextos mais externos, como o Capilar comentou de Open Finance, a API PIX, Marketplace, Portal de Apostas, e também temos APIs que são governadas, né, e num contexto mais um pouco intermediário, que é onde o nosso parceiro atua e nós temos modelos de negócio como fornecedores, provedores, integradores e assim por diante. Então, também é um contexto que ele não é tão amplo, porém existe um outro modelo de preocupação com ele em relação se o meu parceiro também ele tem um contexto de autorização correto para consumir as informações, né?

E até aqui, né, contando um pouquinho do histórico, né? A gente iniciou um processo de transformação digital em 2017. E uma das primeiras definições que foram tomadas, poxa vida, vamos desenvolver aplicações cloud native, né? Vamos desenvolver em microserviços, né? A gente parte da utilização intensiva de APIs internamente, né? A partir das nossas próprias aplicações. Então, a gente na época fez uma opção por uma solução open source. Quando chegou o Open Finance e a gente se deparou até com uma estratégia de exposição e da gente ter a oferta de APIs como uma possibilidade de negócio, aí a gente fez um software selection.

E começamos, porque as preocupações com segurança, preocupações com resiliência, preocupações em relação ao suporte eram diferentes. E então, a partir disso, nesse software selection, a gente selecionou a Sensedia, que desde então vem sendo o nosso parceiro, né? Tanto na estrutura de Open Finance, e aqui entram outros aceleradores, né? Que não somente o API Gateway, né? A gente fala ali também do portal do desenvolvedor e outras acelerações que a Sensedia nos oportunizou.

E também, né, nesse contexto de exposição de outras APIs, mesmo fora do contexto Open Finance, desde que seja, né? Quando a gente está de cara para a rua, a gente só pensa em APIs oferecidas a partir da infraestrutura Sensedia. E no contexto interno, né, pessoal? Temos os nossoscanais, né? Então, nosso aplicativo UPI, que é conhecido no mercado, o próprio MOB, que é o aplicativo do associado. Temos outras aplicações no nosso internet banking. São aplicações que os times fornecem para produtos internos e que também têm uma preocupação diferente do contexto de segurança, autenticação, aqueles padrões que nós vimos, mas também que passa por uma visão de API e tem que ter um certo modelo de qualidade, garantia e segurança.

O Capilare falou uma palavra muito importante do Cloud Native, não basta a gente estar na nuvem, nós fomos para a AWS uma época, temos aplicações em Kubernetes, só que isso não quer dizer que o teu produto está preparado para ir para a nuvem. Uma coisa é você estar rodando na nuvem e outra coisa é ter uma API que seja Cloud Native. Então, ter padrões, ter referências, modelos de arquitetura, governança sobre isso é o que vai garantir esse funcionamento adequado.

E aí o pessoal chegou ao Open Finance, estava comentando com o pessoal da Random sobre o modelo e tantos outros que passaram sobre isso. Já estamos em dois anos rodando o Open Finance, desde a parte regulatória do Bacen, os GTs que falaram sobre a especificação. E aí nós tivemos alguns avanços e oportunidades com isso. Então, já estamos rodando quase na maioria do Brasil com consentimento, compartilhando dados. Temos mais de 268 mil consentimentos. Ativamente, hoje temos 150 mil consentimentos que estão ativos. Em grande maioria, usuários da pessoa física, 95% de pessoa física e também 5% de pessoa jurídica.

Então, nesse momento aqui, estamos mais com uma visão de transmissora, como Account Service Provider, que é um modelo de provedor de contas. E hoje, por isso que reforçando o que o Capilari falou, o Open Service é muito bom, mas eu tenho uma carga de engenharia muito grande para mantê-lo. Nós precisávamos ter um parceiro mais robusto, porque hoje nós temos 194 milhões mês de requisições em APIs. E isso vai para o nosso contexto de negócio, vai para a nossa estrutura de core, de negócio. E a gente precisa suportar isso de forma que não degrada nenhum tipo de serviço e atenda com qualidade, até porque são números bem agressivos de tempo. Para vocês terem uma ideia, eu tenho que, em alguns casos, suportar até 300 TPS, que seriam 300 requisições dentro de um segundo para um contexto de produto.

O GovBR, então, para quem não conhece, pessoal, nós temos o portal do governo federal, em que eu posso me autenticar. Então, hoje o Cicred é um provedor de autenticação para o GovBR, então a pessoa é redirecionada para o Cicred, ele informa a conta dele e a gente diz, não, eu realmente reconheço a pessoa. E é uma fatia também grande de requisição, nós temos 24 milhões mês de requisição nesse contexto, então é um número bem expressivo para o nosso negócio. E forma surpresa, né? A gente, quando expôs a nossa API do GovBR, a gente não imaginava que teria essa demanda toda, mas realmente os nossos associados usam, lógico, serviços de governo e têm nos escolhido como sendo a forma de autenticação e identificação deles nos sistemas de governo.

E aí, como account service provider, na última informação, temos 36 milhões de requisição mês, que é aquela consulta básica, saldo, extrato da pessoa, para saber se ele tem o dinheirinho na conta para fazer aquela aposta lá no Caxias, campeão gaúcho 2023, tá, pessoal? O Kleber. Imagino se tivesse ganhado, né? Imagino se tivesse ganhado.

Mas, então, nós falamos aqui do Open Finance, nós falamos do ponto gov.br, nós falamos do Caxias, mas vamos falar um pouquinho sobre o modelo de plataforma, né? O modelo de plataforma é a estratégia, e isso se materializa no Cicred, inclusive, com a formação de uma área para fomentar isso, de parcerias, né? E a gente aqui fala de modelo integrador, modelo produtor, modelo distribuidor e modelo distribuidor complementar.

Então, o que é importante no modelo de plataforma, pessoal, de novo? Aqui nós temos associado o centro da cadeia, então, independente se ele vai usar o marketplace para uma compra, ou se ele vai utilizar qualquer produto que seja do Cicred ou parceiro financeiro, ele vai contratar um seguro, ou ele vai fazer uma compra pelo site do marketplace que hoje ele leva parceiros que têm também produtos, ele vai estar sempre no centro.

E o que é importante? Conexão no relacionamento e integração canal físico digital. Então, a gente sabe que nós temos, às vezes, o perfil do rural, que ele gosta de ir na agência, de ter o relacionamento, mas a gente também sabe que tem aquele cara que quer resolver a vida dele pelo aplicativo e ter zero conversação com o gerente ou qualquer outro modelo. E a gente falacada vez mais em integrações, né? Integrações, inclusive, entre empresas. Então, integrações vão lá entre cooperativas de crédito e cooperativas de saúde. Integrações online entre cooperativas de crédito e cooperativas de saúde, ou cooperativas de produção. É algo muito desejado e muito saudável para toda a cadeia.

Então, o que nós temos aqui, tanto em cada modelo de negócio? Temos o público, sempre o rural, a questão do crédito comercial, o público do interior, o público da cidade, o MEI, pessoa física, pessoa jurídica, que está trabalhando na nossa plataforma, seja fazendo um Pix, seja fazendo uma contratação de um crédito, seja comprando um produto, e assim por diante. Temos os produtores, que são parceiros, que têm um modelo nosso de produto financeiro. Temos também o modelo de plataforma, que o nosso parceiro vai colocar o produto dele em um modelo financeiro. E ali nós temos Open Finance na base, fazendo hipóteses com dados de associados, fazendo integrações.

Então, a API Pix, por exemplo, é um exemplo, como comentou da questão da aposta. Então, variações de negócio baseado em modelos de arquitetura, de infraestrutura que nós colocamos lá no início.

E aqui, pessoal, voltando um pouco ao que nós falamos lá no início, arquitetura aqui, num modelo de governança bem importante. A gente está falando aqui de C4E, que é o Center for Enablement. E é um modelo onde a arquitetura facilita. A gente falou de Composable Applications lá no início, pelo Augusto, em que se eu vou pensar num produto, ele tem que ser reutilizável. Eu não posso simplesmente fazer um produto e ele ser descartado. Então, ter um modelo de C4E com arquitetura faz o acúmulo de APIs, cria Composable Applications, eu consigo reutilizar isso.

Então, o exemplo da API Pix... Modelos. Modelos, exato. Então, ter arquiteturas de referência que permitam eu, num modelo de negócio A, funcionar no modelo de negócio B, ele também ser funcional. Então, a gente está falando aqui de Domain Driven Design, está falando de governança de serviços, está falando de catálogo de API, está falando de a estratégia da organização olhar para os modelos de produto que ela tem como plataforma e variar isso em modelos de negócio diferentes.

Então, que a arquitetura ajude a implementar novos negócios e com rapidez, que é o que a gente quer.

E como funciona o C4E, pessoal? Nós temos plataforma e capacitação. A gente trabalha com pessoas, são 700 pessoas, então, de engenharia fora, QA, pessoal de produto de negócio, o pessoal que trabalha na ponta com as cooperativas e parceiros. Nós temos que ter em mente que nós temos a estratégia de API, que nós falamos aqui agora, que a visão da API seja clara, que tenha KPIs, que seja metrificável.

Então, se a gente falar de response time, tempo de disponibilidade, SRE, tempo de resposta, que isso seja na veia dos engenheiros do pessoal. As melhores práticas têm que ser recomendadas, a gente tem que ter um design. Então, falamos lá de API first, o design de API tem que ser falado, se o contrato é bem feito, se tem um modelo de Open API, se tem Swagger, se é fácil acessar a documentação, o time A.

Imaginem, pessoal, num contexto desse tamanho, se a gente vai fazer uma reunião com todos os times que vão consumir um produto e tiver que fazer um alinhamento a todo momento. Então, o contexto de arquitetura de referência e documentação tem que ser muito claro, muito vivo.

Então, essa governança de arquitetura tem que contribuir, ela tem que facilitar. Até aqui, a gente falando um pouquinho mais sobre essa estratégia. Essa estratégia tem que endereçar questões de governança.

E aqui eu falo tanto no externo, que a gente acabou dando uma ênfase maior, mas dentro de casa também. Senão, a gente corre o risco de ter duas, três APIs entregando a mesma coisa ou quase a mesma coisa. Então, governança é chato. Ô, coisa chata. Não dá para dizer que não é chato. Pode colocar a roupa que for, chamar do nome que for, governance. Continua sendo chato. Mas, assim, é importante e é fundamental.

Então, aqui, dentro dessas capabilities, a gente entende que organização e governança é importante. A questão de arquitetura, ter produtos também que sustentem a solução, que seja integrado com o processo de entrega contínua. Não pode ser complexo. Também a gente pegar e subir uma API não pode ser um porco-espinho. A gente tem que ter facilidades e aceleradores nesse contexto.

Olhar para a operação, o Kleber janta às duas da madrugada. Não sei como é que tu faz isso, mas, enfim, a gente tem, sim, transações, faz negócios 24 por 7 e a gente tem que ter esse olhar de 24 por 7, logicamente, dependendo do tipo daAPI.

E uma coisa que, gente, é evangelização, é comunicação constante. De tempo em tempo tem que fazer, agora é fácil de fazer live, de fazer... Tem que fazer, né? É fácil, né? De fazer live, né? De fazer, gravar videozinho e tudo mais, né? Então que a gente faça isso constantemente para levar a cultura de API para toda a organização. E é isso, meus amigos. Era o que tínhamos para compartilhar com vocês. Obrigado mais uma vez pela oportunidade, gente. Valeu, pessoal. Obrigado. Que aula, hein?

Eu queria aproveitar aqui, né? Um momento, agradecer novamente vocês, né? E deixar aberto aqui para as perguntas do pessoal que está em casa, mas também, igual a gente fez nas outras palestras, abrir para as perguntas aqui, inicialmente, né? Do público presencial. O Leandro está com o microfone. Quem for fazer uma pergunta é só levantar a mão para a gente poder pegar.

Boa tarde. Eu queria entender um pouco mais onde é que a Cincidia está inserida nisso tudo. Quando vocês falam que tem 190 milhões de requisições por mês, acredito que é externas, né? Essas requisições passam pelo API Gateway da Cincidia? Ela gerencia isso?

Sim, aqueles 190 e tantos milhões é externo, né? Então, a gente nem tem naquele número chamadas de API pelos nossos produtos internos. Então, a Cincidia está nessa estratégia de frente mesmo, né? Então, tudo que entra no Sicred, de parceiros e de Open Finance, por exemplo, qualquer estratégia. Ah, eu quero saber onde tem uma agência do Sicred lá em São Paulo. Por exemplo, então, esse tipo de API que tem informações públicas, que são de Open Finance, são de parceiros, né? Passam todas pela Cincidia. Então, toda a estratégia pública de parceiro passa pela Cincidia.

E em um slide anterior vocês falaram sobre o contexto interno. Eu vi que lá tinha o logo do Kong. Vocês utilizam também?

Sim. E qual que é o motivo de utilizar os dois? Basicamente pela questão de, internamente, o time de engenharia é open source, né? Então, é uma veia bem forte que o Sicred cultiva, né? De colocar isso no pipeline e ele ser entregue como serviço inclusivo, né? Então, o time tem essa autonomia de ele subir uma infraestrutura dele, colocar isso na AWS, por exemplo, e ele se servir e administrar isso.

E vocês, como que vocês têm o contato com ambos API Gateways, o da Cincidia e o do Kong? Fora essa questão do open source, o que vocês veem pós e contras de cada um deles?

É que isso é uma discussão bem importante que toda empresa tem que fazer. O open source sempre nos atrai os olhos por ser barato, acessível, né? Só que a gente tem uma capacidade de engenharia sempre para mantê-lo, né? Então, é um ponto sempre que toda empresa, quando for falar de capability, tem que pensar. Eu tenho um time de engenharia que vai suportar, vai trabalhar na evolução, vai cuidar da questão de segurança, porque o community é muito bom, só que nem sempre ele tem a resposta naquele momento que a gente precisa.

Então, um ponto importante que a gente tem que sempre analisar em qualquer solução que tu vai trazer, seja software select, como nós fizemos com a Cincidia no contexto de público parceiro, é o quanto eu tenho de capacidade para manter aquilo, evoluir, e se daqui a pouco o open source descontinua, ou se ele depreca, ou se vem uma empresa e compra. Então, essas avaliações têm que ser constantes, né? E a gente entende que quando tu vai para um ambiente que é mais corporativo, que é mais estratégico, a gente quer uma solução que se encaixe nisso de forma muito fit, né? Que nos traga respostas mais rápidas.

Quando a gente vai para o contexto interno, a gente entende que daqui a pouco a gente pode fazer em casa algumas modificações, evoluções, só que, de novo, tem que ter times de SRE, DevOps que suportam tudo isso. Quando você está em um ambiente interno, você tem vários mitigadores, né? Na perspectiva de segurança, por exemplo, né? Tu tem muitos mitigadores de perímetro. Então, tu pode ter camada de file, tu pode ter outras camadas de proteção que, num contexto interno, nos dão um relativo conforto.

Quando chegou o Open Finance, cara, aí nós estamos direto para a rua. Aqui não adianta a gente pegar e colocar aqui um cadeado na porta. Cara, nós temos que ter um contexto de segurança maior. A gente precisa ter vigilância, a gente precisa ter cerca elétrica, a gente precisa ter uma série de recursos que nos garantam efetivamente aquela operação. Não só sob o ponto de vista de segurança, mas sob o ponto de vista de suporte. Porque tem coisas que a gente bate cabeça, né? De vez em quando está lá sozinho, sofrendo, né? E quem que vai me ajudar?

E aqui a gente escolheu, no caso, o Sensedia justamente por isso. Eles já estavam bem inseridos no contextode Open Finance e eles entraram como um grande acelerador para a gente. Até, gente, o contexto de Open Finance foi um negócio meio a toque de caixa, né? Foi muito rápido as decisões e as trocas das faixas, né? Faixa para os bancos de tal perfil, para o próximo perfil, só consultiva e tal. A gente teve várias faixas, vários momentos e sempre com um desafio muito grande de prazo. E esse conforto a gente só encontrou a partir de uma parceria bem estabelecida.

E um ponto também para finalizar a resposta, a questão da latência, né? Por mais que a Sensedia já seja performática, ela está numa rede que não é interna. Então, se o produto A vai chamar o produto B internamente, eu não vou fazer uma chamada de internet e na Sensedia voltar para o meu produto. Isso é uma estratégia que pode ser feita? Pode, mas no grande volume ela pode acabar acarretando a performance. Então, também tem esses fatores de latência que a gente também tem muitos sistemas que são legados, são antigos, que estão dentro de casa e a gente tem que acessar o dado mais rápido.

A gente optou por SaaS, né? A gente tem SaaS, o produto Senseed, né? Tem inclusive a opção de ter um híbrido, né? Mas a nossa proposta foi também de deixar essa responsabilidade com a Senseed, né? Inclusive para a administração da infraestrutura. E a gente paga ali por transação. A discussão é quanto vocês me cobram por transação. Muito bom. Obrigado e parabéns pela palestra. Valeu. Grêmio ou Caxiense? Grêmio, então tá bom.

Tá vendo, Kleber? Vamos ver. Pessoal, tem as perguntas do público online. Tem mais alguma aqui, galera? Não, né? Beleza.

Como garantir que a empresa tenha uma mentalidade API first? E quais são os desafios para estabelecer esse tipo de cultura entre colaboradores? Gente, é cultura, né? E quando a gente fala em cultura é educação constante, é falar constantemente sobre o tema, é ter reforço positivo sobre as entregas que aplicam esse princípio. Eventualmente a gente ter algum esforço corretivo também para iniciativas que não seguiram esse princípio. Então, de fato, não é fácil. A gente tem vícios, a gente tem muitas vezes modelos mentais já estabelecidos há bastante tempo. A forma de construir software, a gente também se acostuma àquela forma de construir software, àquela forma de pensar o produto. E a gente está introduzindo uma nova forma de pensar produtos.

Tanto que no Secred isso é uma estrutura, então tem uma área inclusive específica para fomentar modelo produtor, para fomentar marketplace, para fomentar open finance. E assim a gente entende que aos pouquinhos, não só do ponto de vista de APIs, mas todo o conjunto de novas práticas de desenvolvimento e novas práticas de exploração de produtos, eles passam a fazer parte do dia a dia das pessoas e se torna algo mais natural. Mas é complexo mesmo. É uma batalha diária.

Sobre open finance, quais são os desafios de abandonar uma postura preocupada somente com os relatórios e começar a explorar novas oportunidades de negócio? Essa é uma baita pergunta, porque a gente, como o Capelaro começou, é muito agressivo o prazo, a gente já teve uma mudança de cultura muito rápida de levar esse dado para fora de casa e bancos, ao longo dos anos, foram acostumados a deixar isso tudo muito trancado em casa. Uma vez passado esse susto, você começa a olhar que você começa a ter informações de pessoas que estão compartilhando a vida dela contigo, a vida financeira, e que você pode olhar para essa pessoa não só da tua visão. Você acredita que muita pessoa pela conta do que ela tinha de investimento no Sicredi, da informação financeira dela na conta dela, ou de produtos que ela adquiria.

E a gente começa a olhar para essa pessoa na visão global dela, na conta que ela tem em outra instituição, não tenha um pessoal, tenha só no Sicredi, conta, por favor. E você começa a entender essa pessoa. Então, você pode fazer uma oferta melhor de crédito, você pode olhar para essa pessoa e falar, você tem um produto X lá na outra instituição, quem sabe você vem para cá, eu te faço uma taxa melhor, porque o nosso forte é o relacionamento. Então, acho que esse tipo de insumo é que nos olhou para as oportunidades, olhar para a vida da pessoa, ter esse dado, que é um dado grande, e começar a criar padrões em cima dela para ofertar melhores produtos.

Gente,assim, open finance é bom, é bom para a comunidade. E se é bom para a comunidade, a gente apoia e a gente acredita. É bom saber. que o associado tal, ele daqui a pouquinho tem um financiamento, tem um empréstimo em outra instituição. E a gente tendo posse dessas informações, a gente pensa, cara, eu posso fazer algo melhor para ti, eu posso te oferecer algo mais acessível, algo mais atrativo.

Da mesma forma, a gente sabe que outras instituições vão estar fazendo isso para a nossa base. Porém, aqui fica o desafio nosso, enquanto cooperativa, enquanto instituição que tem esse olhar também de comunidade, da gente, poxa, nós precisamos ser competitivos, a gente precisa continuar sendo atrativo para o nosso associado que está no mercado. Tem outras instituições oferecendo algo do interesse dele, cara, vamos olhar para os nossos produtos e se posicionar adequadamente.

E aí vem uma miríade de oportunidades, só complementando, tendo uma visão do cliente, uma visão CDP de Customer Data Platform, você consegue fazer parcerias com varejo e outras instituições que você não tinha no horizonte. Dentro do perfil do cliente, perfil de uso, perfil de compras, você consegue trazer muitas outras ações que você pode agregar à sua oferta, não só como oferta de crédito, oferta de financiamento, mas ofertas de perfil de cliente atrelado ao consumo.

E quanto mais eu conheço do meu associado, melhor eu consigo atender ele. E melhor atendendo, todos crescem, é bom para o associado, é bom para o sistema.

‍