na verdade a exigência de mTLS me pareceu interessante para o fluxo de criação de cobrança. fica bem mais restritivo e difícil alguém criar as cobranças por você, mesmo que sua aplicação tenha uma brecha que permita a obtenção de suas credenciais, não tendo o certificado em si (que normalmente só o acesso root poderia dar)
Termos mais procurados: