![Avatar discord do usuario diogo.f.m.7](https://cdn.discordapp.com/embed/avatars/0.png)
As regras do BACEN tem força de regulamento administrativo para atribuições da competência do BACEN. Você não precisa assinar nada para já estar sujeito a elas.
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.
Mas então, só pelo fato deles permitirem, se o BC realmente não permitir, eles já estão infringindo a regra... Lembro q no começo, eles eram regidos, e não existia o Skip, um cliente meu não pode usar justamente por isso... Mas hj, já tem o Skip...
"Eles permitem" é parte importante do terraplanismo regulatório aqui. Todos os titulares de contas no sistema financeiro tem que seguir o regramento do Banco Central aplicável aos arranjos específicos.
Então, mas se eles permitem usar em produção, e deixar validar só pelo IP de origem... Pq é oq eles colocam na doc deles, caso uso a hospedagem, utilize o Skip, e validar pelo IP de origem...
Sim, mas veja na regulamentação do Pix se tem lá qualquer citação a limitação da hospedagem. Não tem.
Troque para skip-mtls-check. Essa opção não desliga o mTLS, desliga a verificação que eles fazem.
Até pq, na própria doc eles falam da hospedagem compartilhada, pq eles sabem que não dá para configurar o mtls...
Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.
Bom, vamos aguardar um posicionamento do próprio pessoal da EFI, e tirar a dúvida, se eles permitem ou não...
Você pode começar pelo manual de penalidades, que inclui diversas citações a questões que os clientes dos PSPs precisam obedecer sob pena do PSP ser multado:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=177