PIX

PIX

As APIs do módulo PIX são destinadas ao uso das funcionalidades de assinatura, verificação, envio e recebimentos de requisições HTTP PIX.

Rede

O HSM não faz acessos direto aos servidores PIX/DICT, sendo posicionado na rede para uso dos servidores internos do PSP.
Diagrama físico de rede HSM PIX.

Assinatura e verificação

As APIs de assinatura e verificação PIX tem como base o padrão ISO 20.022, as APIs DICT seguem o formato XMLDSig, ambas definidas pelo SPI no documento "Anexo IV – Manual de Segurança".
As funções de API para uso com assinatura PIX e DICT exigem o armazenamento interno no HSM dos certificados digitais para assinatura digital e da cadeia completa de confiança dos certificados para verificação.
Para um gravar um certificado digital (ou arquivo) no HSM utilize a console de gerenciamento remoto ou a API DWriteFile().
O certificado digital para assinatura deverá estar codificado no formato binário ASN1 DER e também seguir o padrão X.509 . O arquivo contendo a cadeia de confiança para verificação de assinatura digital deverá estar codificada no formato PKCS#7 (Public Key Cryptography Standard #7 – Cryptographic Message Syntax Standard).
As funções de assinatura e validação JWS PIX seguem a RFC 7515 e a documentação do SPI.

Requisições HTTP

As APIs de requisições HTTP PIX disponibilizam a comunicação segura HTTP com os servidores PIX ou DICT, utilizando as chaves e certificados protegidos pelo HSM.
As funções de comunicação segura padrão PIX que seguem as definições descritas nos seguintes documentos: "Anexo IV – Manual de Segurança", "Especificações técnicas e de negócio do ecossistema de pagamentos instantâneos brasileiro" e "Anexo III - Manual das Interfaces de comunicação" definidos no SPI.
Funcionamento
A conexão segura é feita entre o servidor do PSP e o servidor do PIX/DICT, o HSM é utilizado apenas para uso de objetos e chave privada do PSP.
O acesso ao HSM ocorre apenas no momento do handshake TLS. Após o fechamento do túnel a comunicação é mantida apenas entre o servidor do PSP e o servidor do PIX/DICT.
Visão geral handshake TLS utilizando as APIs de requisição HTTP do HSM.
Uma conexão HTTP está associada ao handle de sessão do HSM que foi utilizado na abertura da sessão HTTP. Isto permite manter a associação e o acesso aos objetos de conexão (chave privada, certificado e cadeia de certificados) dentro do HSM.
Visão geral do handle do HSM.
    A abertura da sessão HTTP só é feita nas chamadas de requisição HTTP PIX.
    O fechamento da sessão HTTP acontece quando sua respectiva sessão do HSM é fechada físicamente (fechamento da sessão com cache desabilitado ou explicitamente definido para fechamento físico da sessão).
    Uma sessão fechada (sem definição explícita de fechamento físico e sem cache desabilitado) não fecha a sessão HTTP associada pois não há fechamento físico da sessão.
    A sessão HTTP é reutilizada em chamadas HTTP posteriores, independente do tipo de operação HTTP (POST, GET, DELETE ou PUT) utilizada.
    A sessão HTTP não é reutilizada quando os parâmetros de conexão (IP, porta) são alterados.
Por exemplo: suponha que uma operação de POST é feita, a sessão HTTP é mantida aberta dentro do handle de sessão do HSM. Ao fechar a sessão do HSM (sem desabilitar o cache de sessões) a sessão é guardada no cache de sessões juntamente com a sessão HTTP. Pedindo a abertura de uma nova sessão, a sessão guardada em cache será retornada. Ao reutilizar o handle de sessão do HSM para uma operação GET, a sessão HTTP é reutilizada pois estava guardada no handle de sessão do HSM.
Last modified 14h ago
Copy link