Termos mais procurados:
Até pq, uma opinião minha agr...
O webhook é o ponto "menos importante" pq a transação já aconteceu...
Uma forma de segurança q eu uso, pq vem da época de webhook q não tinha mtls, q é o caso do cartão e boleto, é quando recebo um webhook, não confiar nele, pego o id da transação e eu faço a consulta a api para validar o status...
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
Deixando apenas no homologação para testes no desenvolvimento.
É oq estou falando...
"Eles permitem" é parte importante do terraplanismo regulatório aqui. Todos os titulares de contas no sistema financeiro tem que seguir o regramento do Banco Central aplicável aos arranjos específicos.
Se eles escreverem algo que diga que eles permitem, seria basicamente batom na cueca. Por isso em outras oportunidades eles disseram que o certificado é sempre enviado, então até aonde eles tem conhecimento, o mTLS deve estar sendo seguido. Tem no histórico do canal isso.
Você pode começar pelo manual de penalidades, que inclui diversas citações a questões que os clientes dos PSPs precisam obedecer sob pena do PSP ser multado:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=177
Existe obrigatoriedade no PIX e certificado digital SSL em conjunto?
Afinal, existe a obrigatoriedade de utilização do PIX e certificado digital SSL? Essa é uma dúvida latente na mente de muitas pessoas, em especial, empresários. Entretanto, essa obrigatoriedade cabe, apenas, aos bancos e às instituições financeiras, selecionadas para operar na primeria fase do PIX, que devem zelar pela segurança nas transações de seus clientes.
Meteria:
https://blog.validcertificadora.com.br/pix-e-certificado-digital-ssl/#:~:text=Essa%20%C3%A9%20uma%20d%C3%BAvida%20latente,nas%20transa%C3%A7%C3%B5es%20de%20seus%20clientes.
@igor_efi @elaine2983, podem dar uma orientação sobre esse assunto?? Em produção, usando hospedagem compartilhada, posso usar o skip-mtls, e validar o webhook pelo IP de origem??
Por acaso eu estava falando com um PSP esta semana, e eles implementam sim mTLS.
Concordo, caso for obrigatório ele remover a opção no ambiente de produção, deixando apenas ao ambiente de homologação.
Entre desligar você e serem multados pelo Banco Central, a escolha deles não é difícil.
2 desses 3 tem API fora do padrão que eu já denunciei para o Banco Central... tem um que eu não sabia dessa não conformidade, vou ver se confirmo e adiciono na denúncia.
Não tem opção de desabilitar o mTLS... tanto que eles sempre manda o certificado origem. A opção que tem é de desabilitar a checagem de se você implementou mTLS corretamente.
As normas do Pix valem para todos, não só para os PSPs. Por exemplo, o manual de uso da marca Pix tem que ser seguido por todo mundo que cita o Pix em suas vendas.
Se fosse assim, o BC removeria todos os Gateways, e manteria apenas a EFI, pq é a única que usa o mtls....
Quando o mesmo é desabilitado, a api optar pelo IP.
Mas eu não me comunico com o banco central... Vc está confundindo... Quem tem esse obrigatoriedade jundo ao BC é a EFI ... Mas eu não consumo do BC diretamente...
