Mas então, só pelo fato deles permitirem, se o BC realmente não permitir, eles já estão infringindo a regra... Lembro q no começo, eles eram regidos, e não existia o Skip, um cliente meu não pode usar justamente por isso... Mas hj, já tem o Skip...
diogo.f.m.7
Permitirem q eu digo, é dar a opção na doc de uso...
rubenskuhl
Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.
diogo.f.m.7
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
rubenskuhl
As regras do BACEN tem força de regulamento administrativo para atribuições da competência do BACEN. Você não precisa assinar nada para já estar sujeito a elas.
diogo.f.m.7
Mas se alguém vai ser multado ou punido é o psp e não o cliente...
rubenskuhl
Não, não verificar não impede de você checar mTLS do seu lado.
rubenskuhl
Sim, multa é só no PSP. Por isso eu disse que a escolha deles é fácil entre a multa e desligar o uso de API que comprovadamente viole o regulamento.