Pular para o conteúdo principal

API B3 Investidor

A integração com as APIs B3 Investidor permite que a Rica consulte dados de investimentos autorizados pelo titular para uso no planejamento financeiro. O acesso depende de consentimento explícito do investidor no ambiente da B3 e deve respeitar os controles de segurança, privacidade e governança descritos nesta página.

Dados e consentimento

  • A Rica solicita autorização para uma pessoa e um projeto de planejamento específicos.
  • O CPF é usado somente para iniciar e consultar o fluxo de autorização B3; internamente ele é armazenado protegido por criptografia e hash.
  • A B3 disponibiliza dados de posição e movimentação de investimentos com defasagem operacional de D-1.
  • A API Guia é usada como mecanismo de descoberta para identificar quais produtos possuem atualização antes de consultar APIs detalhadas de posição e movimentação.
  • O investidor pode revisar e revogar aplicativos autorizados na área logada da B3.

Controles técnicos

  • Os endpoints de autorização e revogação B3 exigem login Rica via Azure AD B2C.
  • A autorização de acesso é limitada ao usuário dono da pessoa ou ao usuário da estrutura responsável por ela.
  • A sincronização de investimentos não é exposta como API pública do aplicativo; ela deve ser executada por mecanismo interno controlado.
  • Endpoints de diagnóstico da API Guia não ficam disponíveis publicamente em produção.
  • Tokens, certificados, senhas PFX, client secrets, links de autorização, CPF/documentos brutos e payloads B3 não devem ser exibidos, persistidos em logs ou retornados ao frontend.

Auditoria e rastreabilidade

A Rica mantém trilha de auditoria para eventos B3 relevantes:

  • criação de link de autorização;
  • consulta de status de autorização;
  • remoção/revogação local da autorização;
  • acessos negados;
  • falhas operacionais;
  • sincronizações internas futuras.

Os eventos registram ação, origem, resultado, usuário, pessoa, estrutura, projeto, autorização, correlação, horário UTC e metadados operacionais sanitizados. A auditoria não armazena CPF, documento B3 bruto, payload B3 bruto, token, segredo, certificado ou link de consentimento.

Revogação e exclusão local

Quando uma autorização B3 é removida na Rica:

  • o registro de autorização é excluído;
  • investimentos e instrumentos originados daquela autorização são removidos;
  • o evento é registrado em auditoria com contagens agregadas;
  • o usuário deve revogar também o acesso no ambiente da B3 quando quiser encerrar a autorização na origem.

Preparação para produção B3

Antes de usar as APIs B3 em produção, a Rica deve manter evidências dos seguintes pontos:

  • governança de LGPD e bases de tratamento para dados financeiros;
  • processo de resposta a incidentes e canal de contato;
  • gestão de segredos e certificados em repositório seguro, preferencialmente Azure Key Vault;
  • autenticação forte e controle de acesso por pessoa/estrutura;
  • logs e auditoria sem dados sensíveis;
  • revisão de superfície externa para SecurityScorecard;
  • política operacional para respeitar última carga B3, cache, limites, atrasos entre chamadas e uso da API Guia.

Canal de contato

Questões de privacidade, segurança ou incidentes envolvendo a integração B3 devem ser encaminhadas para contato@socialrica.com.br.