Dúvidas API de Webhook #9
Comments
@alexpedrero em /webhook o 'cliente da api' apenas registra uma url. Podes exemplificar melhor a questão por gentileza? |
|
Prezados, |
dmkamers
added
the
FAQ-Pix
|
Prezado @alexpedrero , podemos responder alguma questão adicional? |
ninrod
added
the
webhook
|
(1) Se a pergunta foi em relacao a um ataque de DDOS, por exemplo, poderia-se especificar que os PSPs indicariam a seus clientes quais os IP's origem das chamadas. Nao encontrei na especificacao, mas foi falado acima foi que um objeto do tipo PIX seria enviado ao webhook. O excesso de informacao poderia causar uma falha de segurança, tanto por qualquer interceptacao como pelo caso 2 (caso o ERP nao faca a chamada pra verificar a vericidade). Estamos falando de Recebimento Pix. |
|
bom dia @flaviolenz ,
tem que fechar um canal mTLS para enviar callbacks. Está especificado aqui.
Também está especificado. Um pix pode estar associado a zero ou mais devoluções e essa informação é recebida via callback. |
Muito pesado pra todo ERP-zinho implementar. Já fiz algumas implementações com webhook, mas desprezo os dados daqueles que mandam tudo e vou consultar eu mesmo o status das transacoes.
Correto.. está ai mesmo.
Pode mandar o link de onde isso está? Seria interessante ter o WebHook tambem para o Pagador. (um novo Pix mesmo - sem ser devolucao) |
|
HTTPS é o mínimo hoje em dia. A IETF está abolindo todos os protocolos sem criptografia de canal. Apesar do BACEN nunca ter dito isso em todas as letras, eu entendo que a API Pix só contempla recebimento inicialmente pq a parte de pagamento virá com o IP (Iniciador de Pagamento) e o Open Banking. |
|
@flaviolenz, boa tarde.
A consulta também requer mTLS e, ainda, Oauth2.
|
|
Boa noite, caros. Partindo do pressuposto que meu sistema gera QR Code estáticos de pagamento para diferentes clientes (recebedores), entendo que terei duas opções para verificar/identificar se uma transação está concluída:
Pelo que eu entendi ao ler a documentação, em ambos os casos (seja para verificar a transação ou para fazer o registro do endereço de webhook) vou precisar realizar uma autenticação OAuth e essas consultas serão feitas ao PSP onde a chave relacionada à cobrança está cadastrada (e não a uma API central do BCB). Assim, minhas dúvidas são:
Obrigado desde já. |
Algum motivo para ter preferido estático ao invés de dinâmico ? Não afeta a resposta, mas achei curioso ter menos opções quando isso costuma custar a mesma coisa.
Correto.
Cada cliente vai precisar te passar URLs e tokens para você acessar...
Se é da conta ou da chave ? Eu imaginaria da conta, mas é uma pergunta interessante.
Isso você pode fazer ao registrar, por exemplo, cliente1.webhook.exemplo.com.br no webhook do 1, cliente2.webhook.exemplo.com.br no do 2 etc. E isso pode ser feito usando entrada wildcard de DNS que aponta *.webhook.exemplo.com.br para o mesmo IP, e pelo indicador de Host no HTTP você sabe qual cliente é, que chave tem que apresentar etc. Basta que os PSPs suportem SNI (Server Name Indication). @ninrod e @dmkamers , fica a sugestão da API Pix explicitamente apontar que o suporte a SNI é requisito. |
Apenas me pareceu mais simples a implementação - é um benefício poder gerar os QR Codes "offline": eles serão gerados "no matter what", desde que o formato especificado seja seguido - e não prevejo um recurso que o dinâmico ofereça que seja necessário aos meus clientes (vou reler a documentação para ver se deixei algo passar batido mas agradeço se você puder apontar algum recurso que pode ser crucial na sua visão).
Se eu já achei difícil obter esse tipo de informação, imagina os clientes? Seria muito mais simples eu oferecer uma lista de PSPs já suportados e eles simplesmente apontarem qual é o PSP deles - ou solicitarem a inclusão de um ainda não suportado, se for o caso.
Obrigado. Minha esposa também vive me dizendo que eu faço boas perguntas... (afirmação mútua). 😁
Sim, é bastante viável dessa forma, obrigado pela sugestão. Mas ainda acho que seria muito mais simples se houvesse uma forma de registrar uma URL webhook atrelado ao QR Code estático (ou atrelado à própria chave Pix em si), eliminando totalmente a necessidade de um relacionamento mais estreito com os PSPs só para ter acesso à informação de "baixa" do pagamento, que é basicamente o único recurso necessário para 99,9% dos clientes de sistemas ERP ou cobrança. Inclusive, os pagamentos passarão sempre pelo BC quando efetivados, certo? O próprio BCB poderia se encarregar de mandar uma notificação (quando houver a URL de webhook registrada para aquele QR Code ou chave) quando um pagamento fosse efetuado, em vez de deixar isso na mão dos PSP. Da forma que está definido hoje, quaisquer indisponibilidades e falhas de operação por parte dos PSPs vão afetar a imagem e confiabilidade dos clientes no Pix/BCB. |
O dinâmico checa automaticamente se o valor é o especificado e recusa o valor se não for, no estático o valor vem, você precisa ver que não foi suficiente para quitar aquela cobrança e aí fazer um refund do Pix ou informar um crédito do pagador no estabelecimento. O dinâmico evita automaticamente recebimentos duplicados; o PSP pode recusar QR-Code estático com TxID duplicado se você pedir e ele tiver essa opção, mas não é automático.
Então você vai precisar falar com cada PSP, ver como é a URL, mas ainda sim vai precisar do seu cliente para obter tokens de acesso. A conta é do cliente, o dinheiro é do cliente... alguns bancos e instituições de pagamento tem documentação online da API (BTG, PagSeguro), e tenho uma de grande banco que posso disponibilizar. O que você poderia fazer é você ser o correntista que recebe o dinheiro, faz a conciliação e só manda Pix para o cliente já conciliado. Aí tanto faz onde o cliente tenha conta, você transfere o dinheiro para ele via Pix mesmo.
Aí entra o ponto da sua pergunta do escopo de autenticação. Se houver um escopo "chave", isso está resolvido.
Isso transformaria o Banco Central num banco de varejo... me parece que não é o papel dele no ecossistema. |
Obrigado por detalhar. São diferenciais de menor relevância no meu cenário. A possibilidade de geração offline é mais vantajosa, "apesar dos pesares".
Se puder me enviar, eu agradeceria muito. Meu e-mail é meu nome de usuário at "big G".
Mais uma boa dica, mas vejo 2 possíveis inconvenientes:
Tomara que tenha.
Se o BC não cobrar do recebedor por essa notificação (que poderia ser única, sem retentativas nem nada do tipo - nas falhas pontuais, uma verificação manual resolve), não vejo por que isso o transformaria num banco de varejo. O dinheiro ainda saiu da conta transacional do pagador no PSP A e foi enviado à conta transacional do recebedor no PSP B. Ele só estaria provendo uma funcionalidade extra para o recebedor de informá-lo sobre a baixa. Informação essa que diz respeito a uma transação que envolve o dinheiro do cliente, inclusive. E já é o próprio BACEN que fornece ao PSP pagador a informação acerca da conta/PSP de recebimento para viabilizar a transação, então ele já é uma fonte de informação no processo, de qualquer forma. |
|
Mais uma boa dica, mas vejo 2 possíveis inconvenientes:
1.
receber, "reter" (custodiar) e repassar dinheiro sem ter no CNAE nada
relativo a intermediação (e preciso ver outras possíveis implicações
fiscais);
Você poderia ser visto como um arranjo de pagamento, mas não como efetivo
beneficiário.
1. se a "iCPMF" for aprovada, o cliente perderá 4% *a mais* em relação
a receber o PIX diretamente, só por ter passado nas minhas mãos primeiro
(isso se eu repassar o meu custo com o imposto) - e dá-lhe mais possíveis
implicações fiscais/judiciais por repassar custo de imposto (por mais que
eu determine em contrato que os 4% são operacionais, não consigo confiar no
judiciário brasileiro a ponto de correr esse risco 😢 ).
A iCPMF especulada é de 0.2%, mas os demais se aplicam se isso
infelizmente for aprovado.
|
|
Errei em uma "casa" o percentual, seriam 0,4%, pois a proposta do governo é
que eu pague 0,2% pra receber e mais 0.2% pra mandar pro cliente (diferente
da CPMF, que era cobrada só do pagador).
Vou pesquisar a respeito das burocracias de me qualificar um arranjo de
pagamento (quando na verdade eu só queria mesmo era desenvolver software,
rsrs). Pois é, bom mesmo seria se o BC enviasse a notificação. :(
Em qui, 8 de out de 2020 22:21, Rubens Kuhl <notifications@github.com>
escreveu:
… >
>
> Mais uma boa dica, mas vejo 2 possíveis inconvenientes:
>
> 1.
>
> receber, "reter" (custodiar) e repassar dinheiro sem ter no CNAE nada
> relativo a intermediação (e preciso ver outras possíveis implicações
> fiscais);
>
> Você poderia ser visto como um arranjo de pagamento, mas não como efetivo
beneficiário.
>
> 1. se a "iCPMF" for aprovada, o cliente perderá 4% *a mais* em relação
> a receber o PIX diretamente, só por ter passado nas minhas mãos primeiro
> (isso se eu repassar o meu custo com o imposto) - e dá-lhe mais possíveis
> implicações fiscais/judiciais por repassar custo de imposto (por mais que
> eu determine em contrato que os 4% são operacionais, não consigo confiar
no
> judiciário brasileiro a ponto de correr esse risco 😢 ).
>
> A iCPMF especulada é de 0.2%, mas os demais se aplicam se isso
infelizmente for aprovado.
—
You are receiving this because you commented.
Reply to this email directly, view it on GitHub
<#9 (comment)>, or
unsubscribe
<https://github.com/notifications/unsubscribe-auth/AAZ2XSSYFQA4V337AACBRALSJZQTJANCNFSM4RYWSHLA>
.
|
|
Caros apenas respondendo a uma questão:
O escopo de autorização do access Token é relativo ao client_id que o requisitou. |
Pode? |
O QR estático não está atrelado a uma cobrança, então não, não poderia. |
O que o BACEN já disse em outro issue é que se a pedido do estabelecimento, o PSP pode sim rejeitar TxID publicado. O que ele não pode é rejeitar TxID duplicado indiscriminadamente, pois cada estabelecimento pode fazer usos onde o TxID se repita. |
a pedido do estabelecimento, sim. Mas seria uma feature "não padronizada", embora tecnicamente possível. Realmente, entendo que a documentação não impede que seja implementado desta maneira. Não entramos em detalhes sobre isso. Em tese, o PSP poderia ou não apresentar essa característica que seria configurada, por exemplo, via dashboard ou algo assim. |
|
Olá, boa noite! Tudo tranquilo, galera? |
<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, "ENDPOINT DO PSP");
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, array(
"Authorization: Bearer: TOKEN AQUI"
"Content-Type: application/json"
));
curl_setopt($ch, CURLOPT_CUSTOMREQUEST, "PUT");
curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
"webhookUrl" => "SUA URL AQUI"
]));
?> |
|
Pessoal boa tarde, tudo bem? Estou implementando pela primeira vez a API do PIX na minha empresa. Eles ja possuem uma integração com o Santander, agora estou responsável por implementar a integração com o BB e Itau. É possível utilizar o exato mesmo webhook da minha empresa para todos os bancos? Tentei fazer a chamada no endpoint do Itau /pix_recebimentos/v2/webhook/{chavePix} com o corpo em json Fiquei com essa duvida devido ao seguinte retorno e não encontrei em lugar nenhum algo parecido: |
Essa mensagem tem alguma outra causa que não o uso do mesmo atendedor de webhook por mais de um PSP. Agora, a configuração de mTLS para esse cenário requer incluir múltiplas autoridades certificadoras e checagem de múltiplos common-name... então pode ser mais simples ter URLs diferentes, mesmo que mapeadas para o mesmo atendedor. |
@GuzztMega Você conseguiu resolver esse problema? Estou enfrentando a mesma dificuldade ao realizar a integração com o Itaú |
@pedroeckel, você mencionou há um tempo estar com problemas para implementar seu Webhook Api. |
Caros, boa tarde!
Ficamos com algumas preocupações nas APIs de webhook documentadas:
Obrigado
The text was updated successfully, but these errors were encountered: