Histórico de mensagens sobre webhook

EXIBINDO CONVERSAS RECENTES:

Texto: webhook
Data: 21/04/2024
# pix
Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Todos os concorrentes da Efí que analisamos que seguiam a API Pix padrão do BACEN tem webhook com mTLS... vários inclusive que requerem certificado ICP-Brasil no webhook, o que é tremendamente não prático. A Efí emite os certificados com CA dela o que é bem simples de usar.

# pix
Avatar discord do usuario geovannisc

geovannisc

Ver Respostas

Vou utilizar a EFI por conta do SDK e documentação que é maravilhosa, mas a questão do WEBHOOK do pix é realmente uma pedra no sapato, não tem nenhum concorrente da EFI que eu tenha conhecimento que utilize mtls, pra implementar isso no meu sistema eu vou ter que mudar toda a estrutura do meu servidor aumento muito o nivel de complexidade para simplesmente receber a confirmação do recebimento. Pensei varias vezes em mudar para outra plataforma por causa disso. Para não ter que fazer a configuração do mtls estou pensando em validar de outra maneira atraves das chamadas mesmo. Assim que o usuario atualizar a tela ou entrar fazer a chamada para verificar. Isso deixa a desejar muito.

# pix
Avatar discord do usuario guilherme_efi

guilherme_efi

Ver Respostas

Olá, @diogo.f.m.7 e @rubenskuhl. Bom dia!

Gostaríamos de esclarecer que, conforme as normas do Banco Central, as notificações enviadas do PSP recebedor (no caso, a Efí) para o usuário recebedor trafegam utilizando o canal mTLS. Como parte desse protocolo, sempre enviamos o certificado nos webhooks, seja no cadastro ou na notificação de Pix.

Entendemos que em alguns cenários, como hospedagem em servidores compartilhados, pode haver restrições em relação à inserção de certificados. Por isso, disponibilizamos a opção skip mTLS, que permite o cadastro do webhook sem a necessidade do hand shake mTLS por parte do integrador. É importante destacar que, ao optar por utilizar o atributo skip mTLS, o integrador fica responsável por validar o nosso certificado, conforme as orientações que fornecemos.

Ressaltamos que sempre seguimos as diretrizes do Banco Central para garantir a segurança e conformidade de nossos serviços. 🧡

# pix
Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Esse foi um dos modelos sugeridos para o BACEN, que disse não... o que aliás até se voltou contra a segurança quando se descobriu o ataque do webhook via outra conta.

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

Ver Respostas

Não não, concordo, foi só uma opinião, de q o webhook é o menor dos problemas... Kkkk

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

Ver Respostas

Era mais fácil o Bacen colocar para só enviar o id da transação, e o cliente fazia uma Consulta...

A api antiga do PagSeguro, era assim, o webhook, só trazia o código da notificação, não era nem o id da transação, e o cliente consumia um endpoint para saber oq era aquela notificação, e o código de notificação, tinha uma prazo para expirar...

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

Ver Respostas

O certificado para gerar a transação, criar a cobrança, acho q deveria ter em todos os endpoints... Pix, cartão, boleto...

Mas o webhook, vamos ser sinceros, muda nada...

# pix
Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

Esse tipo de argumento foi passado para o BACEN, está no histórico do Github do BACEN. Mas não aceitaram, e o padrão é com mTLS. Notar que o webhook do Pix tem mais informações do que só um transaction ID, então isso pode ter colaborado para essa exigência. Ou por homogeneidade com o OpenFinance.

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

Ver Respostas

Não é pq o webhook falhou, q o Pix vai ser desfeito... Se o webhook não chegar na aplicação, nada muda, financeiramente...

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

Ver Respostas

Até pq, uma opinião minha agr...
O webhook é o ponto "menos importante" pq a transação já aconteceu...

Uma forma de segurança q eu uso, pq vem da época de webhook q não tinha mtls, q é o caso do cartão e boleto, é quando recebo um webhook, não confiar nele, pego o id da transação e eu faço a consulta a api para validar o status...

# pix
Avatar discord do usuario diogo.f.m.7

diogo.f.m.7

@igor_efi @elaine2983, podem dar uma orientação sobre esse assunto?? Em produção, usando hospedagem compartilhada, posso usar o skip-mtls, e validar o webhook pelo IP de origem??