search

bacen / pix-api

API Pix: a API do Arranjo de Pagamentos Instantâneos Brasileiro, Pix, criado pelo Banco Central do Brasil.
https://bacen.github.io/pix-api
2.36k stars 268 forks source link

Dúvida no QR Code - Certificado + Domínios PSTI #138

Closed evertongodoi closed 4 years ago

evertongodoi commented 4 years ago

Descreva sua dúvida ou problema Referente a hospedagem dos domínios do QR Code, esta descrito que podemos utilizar certificados multidominios desde que sejam separados hosts de produção e homologação.

Gostaria de saber se um PSTI pode hospedar em seu domínio todas as instituições que utilizaram o pix, exemplo: banco1.psti.com.br, banco2.psti.com.br, banco3.psti.com.br, etc. teria algum problema em utilizar desta forma ? e realizar o cadastro do mesmo certificado multidominios para as diversas instituições via STA ?

Obrigado.

Sistema ou Área QR Code, INFRA

dmkamers commented 4 years ago

@evertongodoi não há validações específicas nos subdomínios do SEU domínio. Na prática, você não estaria hospedando banco1, banco2, ... a não ser que eles queiram isso efetivamente. Você poderá servir QRCodes de contas para as quais você tem as informações corretas (chaves). Assim, poderia apenas ser a.psti.com.br, b.psti.com.br, ... porque os pagadores nem tomam conhecimento dessas urls (a location do QR). Nem mesmo os aplicativos que vão iniciar o pagamento fariam validações especificas em subdomínios: ao ler um QR, se o certificado que protegeu a conexão e assinou o payload (pode ser o mesmo ou não) está na lista dos certificados conhecidos para o Pix e são válidos, o App vai ler o payload e apresentar os dados do recebedor que são recuperados no DICT (e aí não importa se tem banco1, banco2, a, b, ..., nos subdomínios). Aí é que está efetivamente o banco, conta, CPF, .... Chamar de banco1, banco2, ou qualquer outra coisa, seria uma decisão do PSTI, e parece estar tudo dentro das regras.

Note, não tenho certeza, porém, se é tão simples assim de incluir um nome nitidamente associado a uma pessoa jurídica específica como um subdomínio SEU, especialmente em se tratando de certificados com Validação Estendida, que tem um processo de emissão saudavelmente (e necessariamente) burocrático. E, mesmo que a AC emita, alguma instituição pode não gostar muito disso, se não houver um acordo prévio. Mas, pelas regras atuais, tudo deve funcionar, respeitados todos os requisitos que estão no Manual de Segurança.

Note ainda que, neste caso, não parece haver necessidade de enviar o mesmo certificado para cada instituição, porque todos vão cair no mesmo pacote. O pacote apenas indica quem pode servir QR Codes, e não (por enquanto) QR Codes para quais bancos.