Termos mais procurados:
Eu tenho a sensação de que a Efí poderia considerar uma das 3 outras técnicas de notificação que poderiam ser usadas ao invés do webhook:
- HTTP Long Polling
- WebSockets
- Server-Sent Events
Só precisaria ver qual escalaria o suficiente para um ambiente com muitos clientes e poucas notificações por cliente. O Pix usa HTTP Long Polling no SPI, mas são 1000 e poucos PSPs apenas.
Você não precisa integrar a nada, nem a um PSP nem ao BACEN, para dadas as informações, gerar um Pix-copia-e-cola e um QR-Code. Mas consultar se foi pago depende de API no banco recebedor daquela chave Pix e de credenciais específicas da conta destinatária. Não é algo que você possa fazer para outros sem que eles te deem o equivalente à senha bancária deles.
E na real não é bem assim né...
No início, não existia esse Skip... Acho q eles ficaram preocupados, pq muitos PSPs fora do padrão, não são punidos, e acabam "roubando clientes" deles, já que não exigem o mtls...
O curioso é que alguns PSPs fora de padrão se mostraram mais sensíveis à pressão por não conformidade da API que outros. Então não dá muito para prever como aconteceria - ou não - com a Efí.
Eu agr concordo com o @rubenskuhl, mas acho q a EFI vai ter muitoooo problema com esse skip-mtls...
Ontem tivemos um debate bem interessante, hoje vi q a EFI se exime de culpa, mas no final, se der BO, eles vão acabar punidos pelo BC... Em hlg terno Skip ok, mas em prod abre margem para problemas...
Maaaaaasssss, como isso é Brasil, da msm forma q tem N PSPs com api fora do padrão, e eu diria que vai continuar assim .. nada vai acontecer...
Essa é só uma das não conformidades da API do Mercado Pago. Tem várias... você pode comparar a API deles, da Efí e qualquer PSP contra o padrão exigido pela norma em:
https://github.com/bacen/pix-api/
Olá, @diogo.f.m.7 e @rubenskuhl. Bom dia!
Gostaríamos de esclarecer que, conforme as normas do Banco Central, as notificações enviadas do PSP recebedor (no caso, a Efí) para o usuário recebedor trafegam utilizando o canal mTLS. Como parte desse protocolo, sempre enviamos o certificado nos webhooks, seja no cadastro ou na notificação de Pix.
Entendemos que em alguns cenários, como hospedagem em servidores compartilhados, pode haver restrições em relação à inserção de certificados. Por isso, disponibilizamos a opção skip mTLS, que permite o cadastro do webhook sem a necessidade do hand shake mTLS por parte do integrador. É importante destacar que, ao optar por utilizar o atributo skip mTLS, o integrador fica responsável por validar o nosso certificado, conforme as orientações que fornecemos.
Ressaltamos que sempre seguimos as diretrizes do Banco Central para garantir a segurança e conformidade de nossos serviços. 🧡
Porquer acredito que se o PSP fazer toda a providencia de segurança e regulamento os demais ultilitario deverão cumprir conformebo mesmo e consideram isso os provedores de serviço de hospedagem tvm deveriam se certificar pois a maioria dos clientes hoje em dia usam algum PSP para transmitir algum tipo de serviço ou algo parecido.
Então o PSP que devem tomar está providência.
Sim, multa é só no PSP. Por isso eu disse que a escolha deles é fácil entre a multa e desligar o uso de API que comprovadamente viole o regulamento.
Mas se alguém vai ser multado ou punido é o psp e não o cliente...
Se eles não verificam, não tem mtls... Deixar para o cliente validar o certificado, é passar uma responsabilidade para o cliente, q na vdd deveria se da EFI como PSP... Pq quem assina contrato aceitando as regras é o psp e não o cliente final...
Você pode começar pelo manual de penalidades, que inclui diversas citações a questões que os clientes dos PSPs precisam obedecer sob pena do PSP ser multado:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&numero=177
Esse trecho fala justamente do PSP com o BC....
Por acaso eu estava falando com um PSP esta semana, e eles implementam sim mTLS.
As normas do Pix valem para todos, não só para os PSPs. Por exemplo, o manual de uso da marca Pix tem que ser seguido por todo mundo que cita o Pix em suas vendas.
Diferente dos outros meios de recebimento da Efí como boleto e cartão sim... mas o webhook como implementado pela Efí é exatamente o que está no padrão do Banco Central. Então outros PSPs que estão fora do padrão...
De toda forma, o copia-e-cola é a ferramenta que permite dar continuidade em diagnóstico de problemas para ver se a Caixa não está recusando algo que de fato tem problema, mesmo que em outro PSP funcione.
Essa chave é a chave do recebedor (ligada à sua conta Efí), é para ela que o PSP do pagador irá fazer a transferência do valor definido
Uma das discussões recorrentes em ciência da computação é sobre normalização de dados (https://pt.wikipedia.org/wiki/Normaliza%C3%A7%C3%A3o_de_dados)... mas neste caso, ter uma lista assim do lado do PSP é bem contra princípios de normalização.
