MANUAL E LAYOUT API PIX 2.0.0 PIX - Banco Bradesco
MANUAL E LAYOUT API PIX 2.0.0 PIX
Vers?o 03 ? Outubro/ 2020
SUM?RIO
Altera??o de vers?o.................................................... 3 A solu??o........................................................................ 3 Integra??o...................................................................... 3 Objetivo.......................................................................... 3
Manual Banco Central................................................ 3 1. Gerar credenciais de acesso OAUTH2.0................ 6 2. Requisi??o para obter token de acesso............... 6 3. Chamada API Pix........................................................ 7 4. Revoga??o.................................................................. 7 5. Implementa??o........................................................... 8
Conceito Pix.................................................................. 9 1. Gerenciamento de Cobran?a................................ 12 1.1. Criar Cobran?a......................................................... 12 1.2. Revisar cobran?a..................................................... 16 1.3. Consultar Cobran?a............................................... 20 1.4. Consultar Lista de Cobran?as.............................. 25
2. Gerenciamento de Pix recebidos....................... 31 2.1. Solicitar devolu??o................................................. 31 2.2. Consultar devolu??o............................................. 33 2.3. Consultar Pix........................................................... 35 2.4. Consultar Pix Recebidos....................................... 38
3. Gerenciamento de Notifica??es......................... 42 3.1. Configurar o Webhook Pix.................................... 42 3.1.2. Callback.................................................................. 43 3.2. Exibir informa??es acerca do Webook Pix....... 46 3.3. Cancelar o Webook Pix......................................... 47
Gloss?rio......................................................................... 48
02
Vers?o 03 ? Outubro/ 2020
Altera??o de vers?o As altera??es de vers?o ser?o comunicadas neste campo. Vers?o 02: ajuste inclus?o URL de homologa??o. Vers?o 03: ajuste no fluxo de implementa??o e URL homologa??o e produ??o.
A solu??o Com Pix ? poss?vel receber pagamentos e transfer?ncias, 24 horas por dia, 365 dias no ano, inclusive aos finais de semana e feriados. O cr?dito cai na hora, inclusive entre diferentes institui??es
Integra??o O objetivo deste manual ? orientar o desenvolvedor sobre como realizar integra??o da API Pix.
Objetivo Este manual apresentar? o modelo de acesso ? API Pix ? Interface de Programa??o de Aplicativos normatizada pelo Bacen, com foco no processo de autentica??o e autoriza??o de aplica??es servidor ao servidor. Ser? demonstrado o passo a passo para automatizar o uso da API Pix.
O padr?o de autentica??o adotado ser? o OAUTH2. Conforme manual do Banco Central os PSPs devem desenvolver e implementar a API seguindo boas pr?ticas de seguran?a, atendendo aos requisitos obrigat?rios abaixo e ?s recomenda??es detalhadas nesta se??o.
Manual Banco Central
Requisitos de seguran?a obrigat?rios
O PSP deve obrigatoriamente observar os seguintes requisitos:
1. A conex?o ? API deve ser criptografada utilizando o protocolo TLS vers?o 1.2 ou superior, permitindo apenas cipher suites que atendam ao requisito de forward secrecy63.
2. O PSP deve implementar o framework OAuth 2.0 (RFC 6749)64 com TLS m?tuo (mTLS ? RFC 870565) para autentica??o na API, conforme especifica??es abaixo:
a. Os certificados digitais dos clientes da API poder?o ser emitidos pelo pr?prio PSP ou por ACs externas, conforme definido por cada PSP. N?o dever?o ser aceitos certificados auto-assinados pelo cliente.
b. Cada PSP deve possuir seu pr?prio Authorization Server e Resource Server associado ? API Pix, e ambos devem implementar TLS m?tuo.
c. O Authorization Server do PSP deve implementar a t?cnica de vincula??o do certificado do cliente aos access tokens emitidos ("Client CertificateBound Access Tokens"), conforme se??o 3 da RFC 8705.
03
Vers?o 03 ? Outubro/ 2020
d. O Resource Server do PSP deve confirmar que o thumbprint do certificado associado ao access token apresentado pelo cliente ? o mesmo do utilizado na autentica??o TLS (proof-of-possession).
e. O fluxo OAuth a ser utilizado ? o "Client Credentials Flow".
f. Os escopos OAuth ser?o definidos na especifica??o Open API 3.0 da API Pix e permitir?o associar diferentes perfis de autoriza??o ao software cliente.
3. O processo de cadastro/onboarding do cliente para acesso ? API deve ser realizado em ambiente logado no PSP, e deve incluir um canal seguro para envio das credenciais ao usu?rio, de forma a permitir a rastreabilidade das a??es executadas.
4. A API deve suportar m?ltiplos n?veis de autoriza??o ou pap?is, segregando as funcionalidades de acordo com perfis (escopos OAuth) dos usu?rios clientes.
5. O PSP deve implementar tecnologia que permita garantir a alta disponibilidade da API.
6. A API deve garantir a confidencialidade e a integridade das informa??es dos usu?rios e de suas transa??es, tanto em tr?nsito como em repouso.
7. O PSP deve manter logs de auditoria dos acessos ? API pelo per?odo m?nimo de 1 ano.
8. A credencial de acesso utilizada na autentica??o (Client_ID) deve ser vinculada ao CNPJ ou CPF do usu?rio recebedor e deve permitir acesso a recursos apenas de contas transacionais de titularidade do CNPJ ou CPF associado.
Recomenda??es de seguran?a
? recomendado ao PSP:
1. Implementar m?ltiplos fatores de autentica??o para o processo de cadastro/onboarding na API.
2. Desenvolver e implementar a API seguindo boas pr?ticas de seguran?a, de forma a eliminar/reduzir ao m?ximo os riscos de seguran?a conforme ?ltima vers?o dos guias OWASP API Security Top Ten66 e CWE Top 25 Software Weaknesses67.
3. Possuir processo peri?dico de an?lise de vulnerabilidades, tanto est?tica como din?mica da API.
4. Assegurar a seguran?a do desenvolvimento do software cliente68 da API, mesmo que desenvolvido por terceiros. Sugere-se que o PSP institua e mantenha processo de homologa??o dos softwares clientes, estabelecendo crit?rios m?nimos de seguran?a para que eles sejam autorizados a interagir com a API. Nesse caso, a API deve negar tentativas de comunica??o de clientes n?o homologados.
5. Os usu?rios recebedores, como clientes da API, s?o um elo importante na seguran?a do sistema, e, portanto, recomenda-se que o PSP tome a??es para mitigar os riscos do ambiente computacional dos seus usu?rios, uma vez que caso
04
Vers?o 03 ? Outubro/ 2020
um risco se materialize em um incidente, o pr?prio PSP poder? ser afetado. A??es recomendadas (sem preju?zo para outras a??es que o PSP julgar importantes):
a. Instituir e acompanhar programa de melhoria cont?nua da seguran?a dos usu?rios recebedores que utilizam a API; b. Realizar campanhas de conscientiza??o e compartilhamento de informa??es de seguran?a junto aos usu?rios; c. Definir uma pol?tica de troca peri?dica do certificado, senha e outras credenciais utilizadas no acesso ? API; d. Validar a seguran?a do ambiente computacional dos usu?rios nos aspectos de infraestrutura, implementa??o e configura??o do software cliente da API. e. Exigir que as empresas e institui??es que utilizem a API tenham uma Pol?tica de Seguran?a da Informa??o formalmente institu?da. O BC entende que os PSPs poder?o adotar as tecnologias e solu??es de seguran?a para a API que mais acharem apropriados, desde que sejam atendidos os requisitos obrigat?rios de seguran?a e, sempre que poss?vel, as recomenda??es descritas acima, com aten??o tamb?m aos elementos listados nos t?picos a seguir.
Jornada de ades?o Por jornada de ades?o, entende-se o processo por meio do qual um usu?rio recebedor passa a utilizar os servi?os de um PSP espec?fico. Do ponto de vista da API Pix, tal processo deve incluir o fornecimento de credenciais de acesso (Client_IDs e Client_Secrets) e de certificados ao usu?rio recebedor. Cada PSP ter? autonomia para definir a jornada de Ades?o para os seus clientes, utilizando os canais que julgar mais adequados. No processo de ades?o, o Client_ID disponibilizado pelo PSP deve possuir um conjunto de escopos que determinar?o as funcionalidades ?s quais o Usu?rio Recebedor ter? acesso. Os crit?rios de autoriza??o nos escopos s?o de responsabilidade do PSP, que pode criar crit?rios diferenciados em fun??o das caracter?sticas do Usu?rio Recebedor. Dessa forma, ? poss?vel, por exemplo, que determinadas funcionalidades estejam acess?veis apenas por usu?rios que cumpram requisitos adicionais de seguran?a estipulados por cada PSP.
05
Vers?o 03 ? Outubro/ 2020
................
................
In order to avoid copyright disputes, this page is only a partial summary.
To fulfill the demand for quickly locating and searching documents.
It is intelligent file search solution for home and business.
Related download
- perguntas frequentes
- registro on line de boletos de cobranÇa bradesco
- ccb bradesco financiamentos
- bradesco dental prime bradesco seguros
- aplicativo bradesco seguros qualicorp
- termo de instalaÇÃo e uso do br
- manual e layout api pix 2 0 0 pix banco bradesco
- manual de instalação e ativação office banking
- seguranÇa banco bradesco
- contraponto
Related searches
- banco bradesco acessar minha conta
- banco bradesco site
- banco bradesco agencias
- banco bradesco revenue
- banco bradesco log in
- banco bradesco telefone
- banco bradesco stock
- banco bradesco stock dividend
- banco bradesco s a
- banco bradesco investor relations
- codigo banco bradesco para transferencia
- banco bradesco internet banking