Bom dia, @weslly99, tudo bem?
1. Sim, o certificado faz referencia a conta, funcionando de forma semelhante a uma credencial.
2. Você deve ser capaz de distinguir quem esta recebendo a notificação, você pode fazer isso tendo URL distintas, usando apenas query params para distinguir, etc.
3. É importante garantir que os usuários terão acesso apenas ao que é devido à eles, ou seja, que não consigam influenciar na cobrança de outros usuários. Restrinja ao máximo os acessos aos bancos que conterão as credenciais e os certificados para evitar que outras pessoas vazem estes dados. Ao implementar o webhook Pix, utilize o mTLS e/ou HMAC para garantir que a comunicação esteja sendo de fato feita pelos servidores da Efí.
Caso tenha alguma outra dúvida basta nos perguntar para que possamos lhe auxiliar da maneira mais assertiva possível.