Segurança e integração de API com webhooks

Ao meu ver, toda essa restrição de segurança no webhook só é necessária porque a requisição que chega nele vem com dados da transação pelo que vi no vídeo. Se a requisição chegasse apenas: "olha só webhook, tem coisa nova lá no txid (ou e2eid) tal, então se vira para achar o que há de novo". Daí a implementação do webhook procuraria os dados "sensíveis" consumindo o serviço específico. Pelo que lembro, a API do Pag Seguro, por exemplo, faz assim. Aí, ao meu ver, não precisaria de tanto "cuidado" com o que chega no webhook, uma vez que a informação vai ser checada na fonte a posteriori.

O mTLS faz sentindo. Ainda mais quando se tem volume de transações, se a sua comunicação com o PSP é segura, não tanta há necessidade de checagem do evento (apesar de ser um item de segurança a mais). A questão toda é que um volume alto de transações iria gerar números altos de Webhook + números altos de checagem de Pix recebido, isso poderia bater no ratelimit do PSP.

Sim concordo. Não estou questionando a necessidade do webhook em prol do polling. Eu inclusive quero usar o webhook. Só que a restrição do client cert, que ao meu ver poderia ser de uma forma que dependesse menos de acesso a infra sem perder a segurança. A exemplo de como é a do PagSeguro.

Não há como fazer isso sem acesso a infraestrutra, a não ser que o seu provedor dê acesso a alguma ferramenta.