Histórico de mensagens em pix

Esse tipo de argumento foi passado para o BACEN, está no histórico do Github do BACEN. Mas não aceitaram, e o padrão é com mTLS. Notar que o webhook do Pix tem mais informações do que só um transaction ID, então isso pode ter colaborado para essa exigência. Ou por homogeneidade com o OpenFinance.

Não é pq o webhook falhou, q o Pix vai ser desfeito... Se o webhook não chegar na aplicação, nada muda, financeiramente...

Até pq, uma opinião minha agr...
O webhook é o ponto "menos importante" pq a transação já aconteceu...

Uma forma de segurança q eu uso, pq vem da época de webhook q não tinha mtls, q é o caso do cartão e boleto, é quando recebo um webhook, não confiar nele, pego o id da transação e eu faço a consulta a api para validar o status...

Sim, multa é só no PSP. Por isso eu disse que a escolha deles é fácil entre a multa e desligar o uso de API que comprovadamente viole o regulamento.

Mas se alguém vai ser multado ou punido é o psp e não o cliente...

Não, não verificar não impede de você checar mTLS do seu lado.

As regras do BACEN tem força de regulamento administrativo para atribuições da competência do BACEN. Você não precisa assinar nada para já estar sujeito a elas.

Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...

Deixando apenas no homologação para testes no desenvolvimento.

É oq estou falando...

Então é como eu falei, eles devem remover a opção do ambiente de produção.

Não pq tem como implementar mTLS mesmo sem fechar mTLS na sessão TLS. O servidor web pode repassar para a aplicação o certificado de quem chamou o HTTP, e a aplicação verificar mTLS. Então desligar o teste só abre possibilidade para esse cenário.

Permitirem q eu digo, é dar a opção na doc de uso...

Mas então, só pelo fato deles permitirem, se o BC realmente não permitir, eles já estão infringindo a regra... Lembro q no começo, eles eram regidos, e não existia o Skip, um cliente meu não pode usar justamente por isso... Mas hj, já tem o Skip...

"Eles permitem" é parte importante do terraplanismo regulatório aqui. Todos os titulares de contas no sistema financeiro tem que seguir o regramento do Banco Central aplicável aos arranjos específicos.

E adicionar a Hash a URL, q é a forma menos segura dentre todas as opções kkkk

Então, mas se eles permitem usar em produção, e deixar validar só pelo IP de origem... Pq é oq eles colocam na doc deles, caso uso a hospedagem, utilize o Skip, e validar pelo IP de origem...

Sim, mas veja na regulamentação do Pix se tem lá qualquer citação a limitação da hospedagem. Não tem.

Troque para skip-mtls-check. Essa opção não desliga o mTLS, desliga a verificação que eles fazem.

Até pq, na própria doc eles falam da hospedagem compartilhada, pq eles sabem que não dá para configurar o mtls...