Dúvida no QRCode - Lista dos domínios autorizados a gerarem QR Codes no âmbito do SFN

bacen / pix-api

API Pix: a API do Arranjo de Pagamentos Instantâneos Brasileiro, Pix, criado pelo Banco Central do Brasil.

https://bacen.github.io/pix-api

2.32k stars 262 forks source link

Dúvida no QRCode - Lista dos domínios autorizados a gerarem QR Codes no âmbito do SFN #26

Closed anderjoy closed 3 years ago

anderjoy commented 4 years ago

Descreva sua dúvida ou problema No documento de especificações versão 6.2, página 36, nota de rodapé 12, tem a seguinte citação:

A URL/URI está hospedada no domínio do PSP do Recebedor. As validações de segurança incluem a verificação da validade do certificado apresentado no domínio e a verificação da presença do domínio na lista dos domínios autorizados a gerarem QR Codes no âmbito do SFN. Caso as validações sejam positivas, o aplicativo também recupera a chave pública do PSP/domínio em questão.

Nada foi especificado sobre essa lista dos domínios autorizados a gerarem QR Codes no âmbito do SFN.

Onde estará hospedado?
Como recuperar/consultar?
Como cadastrar um domínio do PSP no âmbito do SFN?

Sistema ou Área QR Code

ninrod commented 4 years ago

@anderjoy, essas questões ainda estão sendo especificadas, e provavelmente estarão abordadas no manual de segurança e na ICOM. No anexo1 vamos apenas apontar para esses outros documentos, provavelmente.

De imediato, posso adiantar que:

Onde estará hospedado? No BCB. Um arquivo especial STA será utilizado para envio dos certificados e por meio dos certificados saberemos quais são os domínios autorizados.

Como recuperar/consultar? Uma mensagem específica será criada na ICOM para que o app pagador possa implementar o "certificate pinning".

Como cadastrar um domínio do PSP no âmbito do SFN? Por meio do arquivo específico, enviado via STA.

jgslima commented 4 years ago

Olá @ninrod No Manual de Segurança 3, foi especificado que através da interface ARQ os PSPs poderão consultar periodicamente um arquivo que conterá os certificados ativos. Existe previsão da definição do layout/conteúdo deste arquivo? Obrigado

ninrod commented 4 years ago

@jgslima , vou checar se já temos data definida para isso e retorno em seguida.

ccmario commented 4 years ago

Boa tarde @ninrod! Já temos esta definição quanto ao layout do arquivo de certificados ativos no PIX? Ou uma previsão de quando a teremos?

Obrigado!

ninrod commented 4 years ago

@ccmario, desculpe pela demora, vou checar novamente.

ninrod commented 3 years ago

@ccmario essa comunicação acontecerá no sistema ARQ via ICOM, tanto para informar quanto para consultar. Maiores informações serão disponibilizadas em breve.

ninrod commented 3 years ago

@ccmario, @anderjoy e demais, resposta oficial:

Até o dia 06/10, será realizada publicação de nova versão do Manual de Segurança do Pix contendo algumas informações adicionais sobre o processo de validação dos certificados de sites de QR Code. Nesta data, será também enviado um comunicado disponibilizado o processo de recepção dos arquivos CERTQRC, bem como a possibilidade de download do arquivo contendo os certificados associados aos sites de QR Code dos demais PSPs.