Histórico de mensagens em devs

EXIBINDO CONVERSAS RECENTES:

Data: 12/10/2023
Canal: devs
Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Dentro da Cloudflare, não. Fora da Cloudflare, sim.

Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

O Banco Central não especifica que autoridade certificadora assina o certificado, bastando ser uma autoridade reconhecida. Se a Efí usasse a CA da Cloudflare, funcionaria...

Avatar discord do usuario glauber7911

glauber7911

Ver Respostas

Alguma outra alternativa ? Além do Enterprise ?

Avatar discord do usuario glauber7911

glauber7911

Boa tarde.

Avatar discord do usuario glauber7911

glauber7911

Ver Respostas

Não entendi. Como assim o caso da Efi

Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Cloudflare só nos pacotes Enterprise para ter mTLS com CA privada, como é o caso da Efí.

Avatar discord do usuario glauber7911

glauber7911

Alguém pode indicar algo

Avatar discord do usuario glauber7911

glauber7911

Ver Respostas

Estou usando o cloudflare e estou com dificuldade pois não estou alcançando o mTLS.

Avatar discord do usuario glauber7911

glauber7911

Alguém que possa ajudar no webhook

Avatar discord do usuario guilherme_efi

guilherme_efi

Ver Respostas

Oi, @pedrinne. Bom dia! Como vai?
A melhor opção é fazer mesmo a validação informando o CPF/CNPJ e a chave no momento do envio do Pix, usando o endpoint PUT /v2/gn/pix/:idEnvio. Assim, nossa API verifica se a chave Pix pertence ao titular do documento informado, se não for, o envio é recusado.

Consultar a chave antes de enviar o Pix não é seguro, pois a chave pode ser excluída ou transferida para outro titular a qualquer momento. A única exceção é a chave do tipo CPF e CNPJ que só pode ser associada a contas com este documento.

Para ter certeza de que a chave é 'daquela pessoa', você pode exigir que a chave seja do tipo CPF ou CNPJ, assim como a Receita faz para enviar a restituição do IR, por exemplo. Nesse caso, você pode usar uma API para checar se o documento existe e depois fazer o envio. Se o envio não for efetivado, significa que a chave CPF/CNPJ não está registrada em nenhum banco, então poderia notificar o seu cliente sobre.

Avatar discord do usuario pedrinne

pedrinne

boa sorte pra eles entao rsrs

Avatar discord do usuario rubenskuhl

rubenskuhl

E ainda vão te cobrar bounty por descobrirem que seu sistema tem essa falha. 😉

Avatar discord do usuario rubenskuhl

rubenskuhl

... inclusive pq logo vão usar o seu sistema como proxy para ataques de enumeração.

Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Se você deixar seu usuário colocar qualquer coisa, não vai ser um problema pequeno não...

Avatar discord do usuario pedrinne

pedrinne

Ver Respostas

okay, mas provavelmente esse vai ser o menor dos problemas uma vez ou outra vai dar chave nao encontrada

Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Sim. Mas o balde de 100 fichas, por exemplo, gasta só fazendo 5 consultas que dêem chave não encontrada...

Avatar discord do usuario pedrinne

pedrinne

Ver Respostas

contas pj conseguem fazer mais consultas entao?

Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

As da Efí eu nunca vi eles exporem limites do sistema interno deles. Mas mesmo que passe, vai limitar no Banco Central nesta proporção:
"() O tamanho do balde das políticas ENTRIES_READ_USER_ANTISCAN e ENTRIES_READ_USER_ANTISCAN_V2 é categorizado de acordo com o tipo de usuário final realizando a consulta, Pessoa Física (PF) ou Pessoa Jurídica (PJ):

Categoria Tamanho do balde
PF 100
PJ 1.000"

Avatar discord do usuario pedrinne

pedrinne

Ver Respostas

entendi, voce sabe me dizer como eu verifico o limite de requisiçoes por conta?

Avatar discord do usuario rubenskuhl

rubenskuhl

E além disso, exatamente para não cair nesse tipo de problema operacional, que não há um método de API exportado pela Efí para que se faça isso.