Como passar os certificados - PIX Cielo - Produção

[Messias Bittencourt]

Boa tarde.

Gostaria de saber como, no caso do PIX Produção do Banco Cielo, eu passo os dados dos certificados.
Como podemos ver na imagem acima não existe a opção de certificados como no Banco Bradesco ou Sicoob por exemplo.

Agradeço desde já a atenção e no aguardo.

[Juliomar Marchetti]

Boa tarde

pode usar o mesmo do Bradesco e Sicoob

pois internamente o componente descende de uma unica classe que contempla de igual

portanto o campos abaixo tem nelas também, lembrando das distinções de cada um pela sua extensão

ArqChavePrivada	Caminho e nome do arquivo KEY.
ArqCertificado	Caminho e nome do arquivo PEM.

ArqPFX	Caminho e nome do arquivo PFX.
SenhaPFX	Senha do arquivo PFX.

a nível de exemplificação abaixo também temos o código fonte que eles descendem

[Messias Bittencourt]

56 minutos atrás, Juliomar Marchetti disse:

Boa tarde

pode usar o mesmo do Bradesco e Sicoob

pois internamente o componente descende de uma unica classe que contempla de igual

portanto o campos abaixo tem nelas também, lembrando das distinções de cada um pela sua extensão

ArqChavePrivada	Caminho e nome do arquivo KEY.
ArqCertificado	Caminho e nome do arquivo PEM.

ArqPFX	Caminho e nome do arquivo PFX.
SenhaPFX	Senha do arquivo PFX.

a nível de exemplificação abaixo também temos o código fonte que eles descendem

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

3 minutos atrás, Messias Bittencourt disse:

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

16/10/24 18:01:06:343 - LIB_ConfigGravarValor(Cielo, ArquivoCertificado, C:\dev\pix\certificado\GV-BUS.cer)
16/10/24 18:01:06:354 -    SetRetorno(-3, Chave [%s] não existe na Sessão [%s] no arquivo de configuração)
 

[Messias Bittencourt]

15 minutos atrás, Messias Bittencourt disse:

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

16/10/24 18:01:06:343 - LIB_ConfigGravarValor(Cielo, ArquivoCertificado, C:\dev\pix\certificado\GV-BUS.cer)
16/10/24 18:01:06:354 -    SetRetorno(-3, Chave [%s] não existe na Sessão [%s] no arquivo de configuração)
 

Mesmo problem para ArquivoChavePrivada ou ArqChavePrivada

[Juliomar Marchetti]

vou pedir para o pessoal que mantém a lib para conferir

[Messias Bittencourt]

Agora, Juliomar Marchetti disse:

vou pedir para o pessoal que mantém a lib para conferir

Muito obrigado pela ajuda @Juliomar Marchetti.
Eu até cheguei a abrir o fonte da config em https://svn.code.sf.net/p/acbr/code/trunk2/Projetos/ACBrLib/Fontes/PIXCD/ACBrLibPIXCDConfig.pas.
Sicoob e Bradesco realmente tem estas properties. 
Mas o Cielo está sem as mesmas.

Agradeço se puder dar esta ajuda....

[antonio.carlos]

43 minutos atrás, Messias Bittencourt disse:

Muito obrigado pela ajuda @Juliomar Marchetti.
Eu até cheguei a abrir o fonte da config em https://svn.code.sf.net/p/acbr/code/trunk2/Projetos/ACBrLib/Fontes/PIXCD/ACBrLibPIXCDConfig.pas.
Sicoob e Bradesco realmente tem estas properties. 
Mas o Cielo está sem as mesmas.

Agradeço se puder dar esta ajuda....

Teria documentação sobre uso dos certificados para o PSP Cielo ? 
Pois no componente ACBrPIXCD para uso do PSP Cielo, não contem estes campos para uso de certificado..

[Messias Bittencourt]

55 minutos atrás, antonio.carlos disse:

Teria documentação sobre uso dos certificados para o PSP Cielo ? 
Pois no componente ACBrPIXCD para uso do PSP Cielo, não contem estes campos para uso de certificado..

Boa noite @antonio.carlos.

Vou ver se arrumo esta documentação e lhe passo.

De qq forma e antecipadamente, afirmo que existe sim o uso do certificado.

Já testei diretamente no Banco via postman. Homologação não precisa. Basta apenas clientId e clientSecret.

Em produção, também funcionou, mas além destas credenciais acima descritas, precisei utilizar os certificados que o proprietário da conta me forneceu. 

Att

[Messias Bittencourt]

14 horas atrás, Messias Bittencourt disse:

Boa noite @antonio.carlos.

Vou ver se arrumo esta documentação e lhe passo.

De qq forma e antecipadamente, afirmo que existe sim o uso do certificado.

Já testei diretamente no Banco via postman. Homologação não precisa. Basta apenas clientId e clientSecret.

Em produção, também funcionou, mas além destas credenciais acima descritas, precisei utilizar os certificados que o proprietário da conta me forneceu. 

Att

Bom dia @antonio.carlos.
Eles não possuem uma documentação em pdf. Mas acessei aqui o "https://developercielo.github.io/manual/apipix#segurança" com meu usu e senha e te passo abaixo a parte que fala de segurança. Se realizar um cadastro no site "https://desenvolvedores.cielo.com.br/api-portal/" poderá checar a documentação com mais profundidade. Pelo postman eu utilizei os .cer e .key obtendo sucesso.

Segurança

Devem ser observadas para desenvolver e implementar a API seguindo boas práticas de segurança, atendendo aos requisitos obrigatórios abaixo.

Requisitos de segurança obrigatórios:

1. A conexão à API deve ser criptografada utilizando o protocolo TLS versão 1.2 ou superior, permitindo apenas cipher suites que atendam ao requisito de forward secrecy.
2. O PSP deve implementar o framework OAuth 2.0 (RFC 6749) com TLS mútuo (mTLS – RFC 8705) para autenticação na API, conforme especificações abaixo:

a. Os certificados digitais dos clientes da API poderão ser emitidos pelo próprio PSP ou por ACs externas, conforme definido por cada PSP. Não deverão ser aceitos certificados auto-assinados pelo cliente. b. Cada PSP deve possuir seu próprio Authorization Server e Resource Server associado à API Pix, e ambos devem implementar TLS mútuo. c. O Authorization Server do PSP deve implementar a técnica de vinculação do certificado do cliente aos access tokens emitidos (“Client Certificate-Bound Access Tokens”), conforme seção 3 da RFC 8705. d. O Resource Server do PSP deve confirmar que o thumbprint do certificado associado ao access token apresentado pelo cliente é o mesmo do utilizado na autenticação TLS (proof-of-possession). e. O fluxo OAuth a ser utilizado é o “Client Credentials Flow”. f. Os escopos OAuth serão definidos na especificação Open API 3.0 da API Pix e permitirão associar diferentes perfis de autorização ao software cliente.

1. O processo de cadastro/onboarding do cliente para acesso à API deve ser realizado em ambiente logado no PSP, e deve incluir um canal seguro para envio das credenciais ao usuário, de forma a permitir a rastreabilidade das ações executadas.
2. A API deve suportar múltiplos níveis de autorização ou papéis, segregando as funcionalidades de acordo com perfis (escopos OAuth) dos usuários clientes.
3. O PSP deve implementar tecnologia que permita garantir a alta disponibilidade da API.
4. A API deve garantir a confidencialidade e a integridade das informações dos usuários e de suas transações, tanto em trânsito como em repouso.
5. O PSP deve manter logs de auditoria dos acessos à API pelo período mínimo de 1 ano.
6. A credencial de acesso utilizada na autenticação (Client_ID) deve ser vinculada ao CNPJ ou CPF do usuário recebedor e deve permitir acesso a recursos apenas de contas transacionais de titularidade do CNPJ ou CPF associado.
7. Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário recebedor trafegarão utilizando um canal mTLS.

a. Recomenda-se que os certificados utilizados para autenticação mútua no canal TLS do webhook sejam os mesmos da API Pix. De todo modo, não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor.

O BC entende que os PSPs poderão adotar as tecnologias e soluções de segurança para a API que mais acharem apropriados, desde que sejam atendidos os requisitos obrigatórios de segurança e, sempre que possível, as recomendações descritas acima, com atenção também aos elementos listados nos tópicos a seguir.

[antonio.carlos]

41 minutos atrás, Messias Bittencourt disse:

Bom dia @antonio.carlos.
Eles não possuem uma documentação em pdf. Mas acessei aqui o "https://developercielo.github.io/manual/apipix#segurança" com meu usu e senha e te passo abaixo a parte que fala de segurança. Se realizar um cadastro no site "https://desenvolvedores.cielo.com.br/api-portal/" poderá checar a documentação com mais profundidade. Pelo postman eu utilizei os .cer e .key obtendo sucesso.

Segurança

Devem ser observadas para desenvolver e implementar a API seguindo boas práticas de segurança, atendendo aos requisitos obrigatórios abaixo.

Requisitos de segurança obrigatórios:

1. A conexão à API deve ser criptografada utilizando o protocolo TLS versão 1.2 ou superior, permitindo apenas cipher suites que atendam ao requisito de forward secrecy.
2. O PSP deve implementar o framework OAuth 2.0 (RFC 6749) com TLS mútuo (mTLS – RFC 8705) para autenticação na API, conforme especificações abaixo:

a. Os certificados digitais dos clientes da API poderão ser emitidos pelo próprio PSP ou por ACs externas, conforme definido por cada PSP. Não deverão ser aceitos certificados auto-assinados pelo cliente. b. Cada PSP deve possuir seu próprio Authorization Server e Resource Server associado à API Pix, e ambos devem implementar TLS mútuo. c. O Authorization Server do PSP deve implementar a técnica de vinculação do certificado do cliente aos access tokens emitidos (“Client Certificate-Bound Access Tokens”), conforme seção 3 da RFC 8705. d. O Resource Server do PSP deve confirmar que o thumbprint do certificado associado ao access token apresentado pelo cliente é o mesmo do utilizado na autenticação TLS (proof-of-possession). e. O fluxo OAuth a ser utilizado é o “Client Credentials Flow”. f. Os escopos OAuth serão definidos na especificação Open API 3.0 da API Pix e permitirão associar diferentes perfis de autorização ao software cliente.

1. O processo de cadastro/onboarding do cliente para acesso à API deve ser realizado em ambiente logado no PSP, e deve incluir um canal seguro para envio das credenciais ao usuário, de forma a permitir a rastreabilidade das ações executadas.
2. A API deve suportar múltiplos níveis de autorização ou papéis, segregando as funcionalidades de acordo com perfis (escopos OAuth) dos usuários clientes.
3. O PSP deve implementar tecnologia que permita garantir a alta disponibilidade da API.
4. A API deve garantir a confidencialidade e a integridade das informações dos usuários e de suas transações, tanto em trânsito como em repouso.
5. O PSP deve manter logs de auditoria dos acessos à API pelo período mínimo de 1 ano.
6. A credencial de acesso utilizada na autenticação (Client_ID) deve ser vinculada ao CNPJ ou CPF do usuário recebedor e deve permitir acesso a recursos apenas de contas transacionais de titularidade do CNPJ ou CPF associado.
7. Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário recebedor trafegarão utilizando um canal mTLS.

a. Recomenda-se que os certificados utilizados para autenticação mútua no canal TLS do webhook sejam os mesmos da API Pix. De todo modo, não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor.

O BC entende que os PSPs poderão adotar as tecnologias e soluções de segurança para a API que mais acharem apropriados, desde que sejam atendidos os requisitos obrigatórios de segurança e, sempre que possível, as recomendações descritas acima, com atenção também aos elementos listados nos tópicos a seguir.

Obrigado por compartilhar, foi criada uma #TK-6118 para analise, logo daremos um retorno, combinado ?

[Messias Bittencourt]

12 minutos atrás, antonio.carlos disse:

Obrigado por compartilhar, foi criada uma #TK-6118 para analise, logo daremos um retorno, combinado ?

Combinado e no aguardo.

Muito obrigado!