Worldfy PaymentsWorldfy Payments
SuporteDashboard
GuiaAPI Reference
SuporteDashboard

Começando

IntroduçãoAutenticaçãoErrosPaginação e Filtros
Cobranças
Visão GeralMétodos de PagamentoCaptura e Estorno
Financeiro
RecebíveisAntecipaçõesCarteiras e ExtratosSaques
Configuração
Chaves de APIRecebedores
SDK de Segurança
Visão geralTokenizaçãoAutenticação 3DSAnálise de fraudeFluxo simplificadoFluxo completoErrosProdução e segurança
Webhooks
Visão GeralConfiguraçãoRetentativas
Eventos
Eventos de CobrançasEventos de Saques

Produção e segurança

Configurações de CSP, conformidade PCI DSS e compatibilidade de navegadores para usar o SDK em produção.

Configuração

Como criar endpoints de webhook, gerenciar secrets e validar assinaturas HMAC-SHA256 para garantir a autenticidade das notificações.

Webhooks

Visão Geral

Entenda como o sistema de webhooks da Worldfy funciona e como receber notificações em tempo real sobre eventos da sua conta.

O que são webhooks?

Webhooks são notificações HTTP enviadas automaticamente pela Worldfy para a sua aplicação quando eventos importantes acontecem, como a captura de uma cobrança, um estorno ou um chargeback.

Em vez de consultar a API periodicamente para verificar mudanças (polling), você configura endpoints de webhook e a Worldfy envia um POST com os dados do evento assim que ele ocorre.

Como funciona

  1. Você cria um ou mais endpoints de webhook no painel, cada um com uma URL e os eventos que deseja receber
  2. Quando um evento ocorre, a Worldfy envia um HTTP POST para todos os endpoints ativos que estão inscritos nesse evento
  3. Sua aplicação processa a notificação e responde com um status 2xx
  4. Se a entrega falhar, a Worldfy reenvia automaticamente com backoff exponencial

Múltiplos endpoints

Você pode configurar quantos endpoints quiser. Cada endpoint possui:

CampoDescrição
URLA URL que receberá as notificações via HTTP POST
EventosLista de eventos que este endpoint recebe (ex: charge.captured, charge.refunded)
SecretChave HMAC-SHA256 exclusiva para verificar a autenticidade das notificações
Statusactive (recebe notificações) ou paused (temporariamente desativado)

Cada endpoint tem seu próprio secret. Isso permite que você integre com múltiplos sistemas, cada um com sua própria chave de verificação.

Estrutura do payload

Todos os webhooks seguem a mesma estrutura de envelope, com o campo de dados variando conforme o tipo de evento:

{
  "id": "uuid-do-delivery-log",
  "event": "charge.captured",
  "charge": { "..." },
  "occurred_at": "2026-02-24T10:00:00.000Z"
}
{
  "id": "uuid-do-delivery-log",
  "event": "merchant.approved",
  "merchant": { "..." },
  "occurred_at": "2026-03-30T14:00:00.000Z"
}
{
  "id": "uuid-do-delivery-log",
  "event": "withdrawal.completed",
  "withdrawal": { "..." },
  "occurred_at": "2026-03-30T14:05:00.000Z"
}
CampoTipoDescrição
idstringIdentificador único da entrega (delivery log)
eventstringNome do evento (ex: charge.captured, merchant.approved, withdrawal.completed)
chargeobjectDados da cobrança (presente em eventos charge.*)
merchantobjectDados da conta/merchant (presente em eventos merchant.*)
withdrawalobjectDados do saque (presente em eventos withdrawal.*)
occurred_atstringData/hora em que o evento ocorreu (ISO 8601)

Headers HTTP

Cada notificação inclui os seguintes headers:

HeaderDescrição
Content-Typeapplication/json
X-Worldfy-SignatureAssinatura HMAC-SHA256 do payload (ex: sha256=abc123...)
X-Worldfy-EventNome do evento (ex: charge.captured)
X-Worldfy-Delivery-IdID único da entrega
User-AgentWorldfy-Postback/1.0

Eventos disponíveis

Cobranças

Eventos de criação, captura, estorno e falha de cobranças

Saques

Eventos de solicitação, aprovação, processamento e conclusão de saques

Além dos eventos de cobrança e saque, a Worldfy também emite eventos de conta (merchant), descritos abaixo.

Eventos de Conta (Merchant)

Eventos relacionados à análise e aprovação da conta do merchant.

EventoDescrição
merchant.approvedConta aprovada e habilitada para transacionar
merchant.rejectedConta rejeitada na análise

Payload de exemplo

{
  "id": "uuid-do-delivery-log",
  "event": "merchant.approved",
  "merchant": {
    "id": "m1e2r3c4-h5a6-7890-ntid-000000000001",
    "trade_name": "Loja do João",
    "legal_name": "João Silva ME",
    "tax_id": "12345678000199",
    "email": "contato@lojadojoao.com",
    "status": "active",
    "review_notes": null,
    "reviewed_at": "2026-03-30T14:00:00.000Z",
    "created_at": "2026-03-25T10:00:00.000Z",
    "updated_at": "2026-03-30T14:00:00.000Z"
  },
  "occurred_at": "2026-03-30T14:00:00.000Z"
}
Campo do objeto merchantTipoDescrição
idstringID do merchant
trade_namestringNome fantasia
legal_namestringRazão social
tax_idstringCPF ou CNPJ
emailstringE-mail da conta
statusstringStatus atual da conta
review_notesstring | nullMotivo da rejeição (quando aplicável)
reviewed_atstring | nullData/hora da análise (ISO 8601)
created_atstringData/hora da criação (ISO 8601)
updated_atstringData/hora da última atualização (ISO 8601)

Em decisões automáticas, o corpo pode incluir os campos adicionais decided_by_system (boolean) e decision_context (metadados da decisão).

Produção e segurança

Configurações de CSP, conformidade PCI DSS e compatibilidade de navegadores para usar o SDK em produção.

Configuração

Como criar endpoints de webhook, gerenciar secrets e validar assinaturas HMAC-SHA256 para garantir a autenticidade das notificações.

On this page

O que são webhooks?Como funcionaMúltiplos endpointsEstrutura do payloadHeaders HTTPEventos disponíveisEventos de Conta (Merchant)Payload de exemplo