Eu vejo APIs, o tempo todo!

Com base em minha jornada de mais de 20 anos em tecnologia, afirmo com convicção que estamos vivendo o melhor momento em termos de API’s. As Application Programming Interfaces existem desde os primórdios da Computação, e, naquela época, os profissionais que faziam uso dessas API’s contidas em SDK (“Software Development Kit”) eram considerados os desenvolvedores mais especializados.

Um dos principais objetivos de API’s, de maneira bem simplista, é fornecer mecanismos de interação entre sistemas e promover facilidade no intercâmbio de dados, seja para obter informações ou mesmo estender a capacidade daquele determinado sistema. Porém, nos anos 2000, nasceu a primeira Web API Moderna e de lá para cá tivemos uma avalanche de API’s.

Mencionei que vivemos o melhor momento em termos de API’s, pois chegamos num nível de sofisticação e abstração na qual processos complexos podem ser expostos por meio de API’s simples, não ficando mais restrito somente à um especialista. Dificilmente nos dias atuais haverá um sistema que não expõe API’s e, caso haja um que ainda não exponha, com certeza está trabalhando para isso.

Vejo API’s em todo sistema que utilizo e enxergo essas API’s como peças de um Lego, ou seja, é possível montar o que quisermos e como quisermos, estando limitados apenas pela nossa criatividade.

Vamos exemplificar com as nossas peças de lego!

Imagine que ao aproximar-se da portaria do seu condomínio, você recebe uma mensagem indicando que sua compra de supermercado – feita pelo aplicativo – já foi entregue e basta retirá-la no almoxarifado do condomínio. Incrivelmente prático, não é mesmo?

Mas como isso tudo aconteceu?

Umas das maravilhas do nosso mundo tecnológico é que podemos chegar ao mesmo resultado com diversas abordagens. Vamos esmiuçar o nosso cenário:

1)  Através da monitoração do ciclo de compras de produtos e dos dados obtidos por meio de API’s, podemos utilizar Inteligência Artificial e identificar quando será o próximo ciclo de compras;

2) Após descobrirmos essa periodicidade do ciclo de compras, a aplicação (por meio de API’s) aciona os microsserviços responsáveis por montar a lista de compras já com todos os produtos costumeiramente adquiridos;

3) O próximo passo é, por meio de API’s, notificar o aplicativo sobre a aprovação da compra e a entrega dos produtos;

4) Por meio de API’s de Geolocalização (GPS), o aplicativo identifica a aproximação do comprador no condomínio, verifica nos microsserviços do supermercado se os produtos já foram entregues e notifica por mensageria.

Dessa forma, automatizamos e melhoramos a experiência do consumidor além de otimizarmos o tempo dele dedicado à essa tarefa. Assim, a mensagem principal é que em todos os passos precisamos de API’s para atingir os objetivos.

O outro lado: uma lógica mais segura

Como sempre, teremos os dois lados da força! Certamente você já leu notícias sobre ataques cibernéticos feitos através de vulnerabilidades em API’s. Em meio a esse cenário, as organizações capitaneadas pelos seus CISO’s (Chief Information Security Officer) passam pelos desafios:

• Manter os sistemas atualizados;
• Estabelecer uma arquitetura de segurança para API’s;
• Garantir que as API’s são monitoradas e estão atendendo aos “baselines” de segurança estabelecidos;
• Monitorar tentativas de ataques cibernéticos;
• Testar constantemente essas API’s com foco em segurança, buscando vulnerabilidades através de erros de lógicas, entre outros.

Realmente, não é um desafio fácil, pois os controles de Segurança não podem travar a busca por conveniência no uso das API’s. Afinal, quanto mais simples e eficazes elas forem, proporcionarão maior uso e engajamento.

Por isso, quando falamos de “segurança versus conveniência”, não é uma equação simples tampouco excludente! As soluções que buscam embarcar a segurança como um mecanismo transparente são uma tendência!

Com a Lei de Proteção Geral de Dados (LGPD), a segurança passa a ser um ponto muito importante, pois normalmente as API’s estão expondo dados pessoais, os famosos PII’s (Personally Identifiable Information), informações que podem ser usadas para identificar, localizar e conectar uma pessoa.

A LGPD, baseada na lei Europeia GDPR (Regulamento Geral sobre a Proteção de Dados) e que entrará em vigor em agosto de 2020, visa proteger e fornecer total controle dos usuários sobre os seus dados pessoais. Além disso, a lei estabelece regras claras sobre o processo de coleta, compartilhamento e armazenamento de informações pessoais. As empresas que não cumprirem as boas práticas poderão sofrer advertências, multas e proibição total ou parcial das atividades relacionadas ao tratamento de dados.

Com tudo isso, os escândalos de vazamento e compartilhamento de dados sem consentimento realizado por empresas tornam-se espetáculos da falta de segurança dos dados pessoais de usuários, e as leis que regulamentam tais processos tornam-se essenciais! Porém, quando temos uma API segura, com dados relevantes e exposta podemos criar interações eficazes, mudar e originar negócios.

Sua empresa está preparada para proporcionar segurança e elevar a experiência dos usuários?

*Fernando Oliveira é Fundador e CTO da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos.