Termos mais procurados:
Se o callback for bastante simplificado, acho que nem precisaria de contrato específico. Se ligar o callback padrão, mTLS full. Se ligar o callback light, não. Mas sim é mais seguro combinar com os russos... digo, com o BACEN, antes.
Agora, vale sim uma flexibilização desse callback num v3. Certamente levaremos isso ao BC.
No caso do callback, espera-se que o cliente valide o certificado: seja na camada de transporte ou aplicação. É isso que a gente quer permitir: deixar o cliente escolher. Entendemos que a validação do PUT está impedindo isso, ou pelo menos atrapalhando na fluidez.
A validação no cadastro do Webhook que fazemos é um atributo de melhoria de segurança nosso, não está no regulamento e o ignorar ou não do lado do cliente, é algo que não temos controle.
talvez com um contrato específico, como você falou antes + a retirada de informações do callback (deixar só chave + txid se houver), aí o EC teria que consultar a API, creio que seja possível o BACEN aprovar
Se eu fosse o DECEM eu também ficaria bem mais incomodado com violações ao manual de segurança do que aos padrões.
eu acho que aí não estaria em conformidade com a regulamentação, Evanil. não é tão simples assim..
E não só o BACEN faz isso, Visa e Mastercard tem regras extensas para proteção do arranjo como um todo, não só de bancos emissores, merchants ou titulares de cartão.
Em um questionamento aqui com o <@!793123559874494465>... Se a GN retira a validação no cadastro do Webhook, conforme a proposta inicial, o cliente pode renunciar do lado dele, ou seja, toda questão está resolvida.
O risco que o BACEN tenta endereçar é o risco sistêmico. Mesmo sendo o EC o único diretamente prejudicado, episódios que aconteçam afetam a reputação e o uso do arranjo.
Se o callback retornar qualquer coisa diferente de status 200, considera falha e faz retentativas?
mas o risco é do EC. o PSP não deveria ser obrigado a exigir mTLS. deveria ser obrigado a oferecer como opção, apenas
O mTLS tenta mitigar tanto a introdução de informações falsas por um PSP fake, quanto o vazamento de informações que eram de um EC para o outro.
Eu posso dizer que no caso da nossa API de domínios, a gente é bem taxativo de não usar ambiente compartilhado(precisa ser ao menos um VPS). Mas não é uma aplicação Web, e estamos falando de 100+ canais de registro, não 2 milhões de CNPJs.
