Segurança

Normas PCI Compliance


Para manter a segurança na troca de mensagens é necessário que nossos servidores sejam liberados no seu ambiente. Recomendamos fortemente que você libere o domínio: api.pagar.me. Caso não seja possível a liberação do domínio, segue abaixo a lista de IP's que devem ser liberados:

🚧

IPs

52.186.34.80/28
104.45.183.192/28
52.186.34.84

Além disso, por sermos uma empresa com certficado PCI Compliance precisamos manter a segurança na troca de informações com a nossa API. Seguem as configurações aceitas:

🚧

Protocolos aceitos

TLS 1.2
TLS 1.3 (O Pagar.me recomenda fortemente a utilização deste protocolo)

🚧

Hashs Codes

SHA256
SHA384
SHA512

🚧

Cipher Suites

Com criptografia igual ou superior a 128 bits.

📘

Certificados Digitais SSL

O Pagar.me faz uso de uma tecnologia que provisiona de forma automática os certificados digitais das aplicações dos seus domínios.

Esses certificados tem validade de 90 dias e por isso, recomendamos sempre aos clientes, o envio das transações para o nome (FQDN) dos endpoints das nossas APIs.

Não é recomendado o pinning de certificado, com a chave pública.