X-Valid

Introdução

O X-Valid é a implementação brasileira do X-Road. O X-Valid foi adaptado para atender às necessidades específicas do contexto nacional, sendo o produto responsável pela implementação do conceito de Governo Digital no Brasil.

X-Valid no Governo do Estado

Diretório de Serviços do Governo do Estado do Ceará.

O que é o X-Valid?

Definição e Propósito

O X-Valid opera como uma camada de comunicação segura (middleware) na Internet. Seu objetivo principal é:

  • Promover a interoperabilidade (interação) entre os órgãos públicos.
  • Trafegar dados com o mais alto nível de segurança.
  • Aumentar a eficiência nos serviços públicos.

Estrutura e Componentes Fundamentais

A arquitetura do X-Valid é composta por múltiplos componentes que trabalham de forma distribuída para garantir a comunicação segura e auditável. Por ser baseado no X-Road, os componentes são os mesmos:

  • Security Servers (Servidores de Segurança - SS): São sistemas especializados que atuam como servidores proxy para garantir a integridade, confidencialidade e disponibilidade de dados no ecossistema. Cada organização participante utiliza um ou mais SS para gerenciar seus subsistemas e serviços.
  • Registry (Registro): É o servidor central que tem a função de controlar o cadastro de qualquer novo membro ou subsistema, mantendo as identidades de forma centralizada.
  • Verifier (Verificador): É crucial para a segurança jurídica. Realiza a auditoria jurídica das transações, validando-as através de certificados digitais ICP-Brasil e do carimbo de tempo (time-stamping).
  • Directory (Diretório): Componente de transparência pública que lista o catálogo de serviços, organizações e subsistemas disponíveis, facilitando a descoberta de serviços.
  • Link (Adaptador): Um componente que permite a criação de serviços/APIs de forma Low-Code, consultando ou alterando dados diretamente no banco de dados da organização usando scripts SQL.

O serviço Verifier é adaptado a legislação brasileira, sendo que a Valid é autorizada a emitir certificados digitais. Já a ferramenta Link é um produto nacional, desenvolvido pela própria Valid, que auxilia no cenário de Data-as-a-Service.

Características Técnicas e Segurança

Segurança e Auditabilidade

A segurança é garantida por um conjunto de mecanismos obrigatórios:

  1. Troca de Dados Distribuída: Os dados são trocados diretamente entre o Servidor de Segurança do produtor e o do consumidor (peer-to-peer), e não através de um ponto central.
  2. Não Repúdio: Garantido pelo carimbo de tempo (registro de data e horário da transação) e por assinaturas digitais. Todos os registros de troca de dados (Histórico de Transações, acessível via UXP Verifier) podem ser usados como evidência em procedimentos legais.
  3. Autenticação Dupla: A autenticação do serviço se dá através de dois meios combinados:
    • Uso de um Certificado Digital (como o Client Certificate) para fechar o canal TLS mútuo.
    • Identificação no Header da requisição (obrigatória), incluindo UXP-Client (identifica o Proprietário e o Subsistema Consumidor) e UXP-Service (identifica o Proprietário, o Subsistema Provedor, o serviço e a versão).
  4. Registro Local de Evidências: Toda evidência sobre a troca de dados é armazenada localmente pelos atores (o produtor e o consumidor do serviço), e nenhum terceiro tem acesso direto aos dados.

Integração e Padrões

  • Suporte a Serviços: O X-Valid suporta a publicação de serviços utilizando APIs REST e SOAP. A arquitetura interna do X-Road foi originalmente criada utilizando a pilha SOAP/WSDL.
  • Versionamento: O controle de versionamento do serviço é explicitamente informado nos headers de identificação (ex: v1).
  • Conformidade Nacional: O uso de certificados ICP-Brasil no Verificador atende aos requisitos de validade jurídica no Brasil.

Desempenho e Arquitetura

Embora o X-Valid promova uma comunicação descentralizada, a arquitetura subjacente do X-Road, apesar das extensões que adicionaram suporte a REST, ainda é considerada monolítica.

  • Sobrecarga: Em cenários de teste, o X-Road demonstrou um desempenho inferior (maior tempo de resposta) em comparação com soluções API Gateway otimizadas para microsserviços, como o Kong.
  • Causa da Sobrecarga: Essa sobrecarga é parcialmente atribuída às funcionalidades de segurança, como a geração e o armazenamento de registros de time-stamping.

Esse comportamento é esperado, visto que toda a camada de gestão e segurança exige processamento computacional para cifragem e decifragem dos dados.

Casos de Uso (Aplicações Práticas)

  • Integração de sistemas governamentais: O objetivo central é a interoperabilidade entre órgãos.
  • Compartilhamento seguro de dados: Utilizado para expor dados sensíveis, como coleções de serviços relacionadas à identidade civil do cidadão (dados biográficos e biométricos), através de APIs seguras.
  • Interoperabilidade entre órgãos: Permite que diferentes entidades, como o DETRAN e a PEFOCE, troquem dados e informações de forma eficaz e eficiente.

Benefícios

  • Segurança aprimorada: Garantia de integridade, confidencialidade e não repúdio através de Security Servers, TLS mútuo e assinaturas digitais.
  • Padronização de processos: O ecossistema exige a padronização de nomes e estruturas (e.g., Proprietário, Classe, Subsistema) para facilitar a comunicação e a gestão.
  • Transparência e auditoria: Auditoria completa e registro de logs que podem ser usados como prova legal.
  • Aumento do Alcance de Políticas Públicas: Facilita a digitalização dos serviços públicos, replicando o sucesso da Estônia na oferta de amplo acesso aos cidadãos.