Glossário

HMAC (Hash-based Message Authentication Code)

Assinatura criptográfica que prova que uma mensagem veio de quem diz ter vindo e não foi adulterada.

HMAC é uma assinatura criptográfica calculada com uma chave secreta + uma função de hash (em geral SHA-256). O gateway calcula HMAC_SHA256(secret, body) e envia o resultado num header (X-Signature). Seu servidor recalcula com a mesma secret e compara — se baterem, o webhook é autêntico.

Sem HMAC, qualquer pessoa que conheça seu endpoint pode forjar um webhook PAID e enganar seu sistema. Veja o tutorial com código em Node, PHP e Python.

Outros termos do glossário

DICT — Diretório de Identificadores de Contas Transacionais

End-to-End ID (E2EID)

QR Code PIX dinâmico

Antifraude

SPI — Sistema de Pagamentos Instantâneos

Webhook