Bom dia pessoal, uma dúvida que surgiu aqui.
A API Pix só permite a criação de cobranças correto ? O que me preocupa é o cliente também conseguir realizar transferências com as credenciais
Termos mais procurados:
Segurança no Uso da API Pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Alternativas para Detalhar QR Code Pix
- Implementação do Módulo Gerencianet no Perfex CRM
- Integração de API Pix em Bot no Telegram
- Endpoint para Recuperar Saldo
- Cancelamento de Boleto e Remoção do DDA
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Lista de ISPB e Códigos dos Bancos
- Recebimento de Pagamentos via QR Code e Arduino
- Repetição do Processo de Criação com txid
- Consulta de Chave PIX na API de Envio
- Cobrança em Período de Teste Grátis de 7 dias
- Configuração de URLs para Recebimento de Status
- Utilização de Endpoints e Payload no Pix
- Integração da API do Pix em Sistema Próprio
- Implementação da SDK do Pix em Next.js ou React
- Problemas com Token em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Autenticação com Certificado em NextJS
- Teste de Status de Pagamento em Ambiente de Homologação
- Cálculo da CRC 16 do QR Code do PIX
- Retenção de Pagamento no PIX em Marketplace
- Atualização de informações no Retentiva de Cobrança
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
EXIBINDO RESPOSTAS:
Bom dia, @lucianoolegario_57079. Tudo bem?
As credenciais devem ser mantidas em um ambiente seguro que não possa ser acessado por qualquer um, mas de toda forma você pode desabilitar escopos, no caso o de envio de Pix, para garantir que me mesmo de posse de suas credenciais uma pessoa não seja capaz de realizar um envio de Pix via API.
Além do já mencionado pela Efí de desabilitar escopos, você pode também usar os limites da conta para que transações disponíveis mas que você não use tenham limites configurados em zero ou R$1. Detalhe que aí se aplica a site, app e API... mas dá para reduzir bastante a superfície que você precisa defender com outros controles e mitigações.
Exemplo: não usamos hoje envio de Pix, e quando vamos transferir da Efí para outros bancos, usamos TED. Aí os limites de Pix ficam zerados.