Passer au contenu principal

Mode d’autorisation des décaissements

Payfonte prend en charge deux modes d’autorisation pour les demandes de décaissement :
  • Autorisation par PIN
  • URL d’autorisation

Comparaison des modes

ModeFonctionnementRecommandé pour
Autorisation par PINVous envoyez pin dans chaque demande de décaissementLes équipes qui contrôlent strictement les décaissements depuis le backend
URL d’autorisationPayfonte appelle votre endpoint d’approbation à chaque demande ; le décaissement continue uniquement sur HTTP 200Les plateformes qui exigent des contrôles de politique ou de risque avant chaque décaissement

1) Autorisation par PIN

Le mode PIN exige un code de décaissement sur les requêtes de décaissement.

Mise en place

1

Définir le PIN dans le dashboard

Ouvrez une page Décaissements dans le dashboard et terminez la configuration du PIN lorsque vous y êtes invité.
2

Stocker le PIN de façon sécurisée

Conservez le PIN uniquement dans un stockage secret backend. Ne l’exposez jamais côté frontend ou mobile.
3

Envoyer le PIN dans chaque requête

Incluez le champ pin dans POST /billing/v1/disbursements.
Exemple de requête avec PIN : 
{
  "transferRecipientId": "6659692f019f6a143f7f90db",
  "amount": 100000,
  "reference": "disbursement-1001",
  "narration": "Vendor settlement",
  "pin": "1234"
}

2) URL d’autorisation

Le mode URL d’autorisation permet à votre système d’approuver ou de rejeter dynamiquement chaque tentative de décaissement.

Mise en place

1

Configurer l'URL d'autorisation

Définissez votre endpoint sous Disbursements -> Settings dans le dashboard.
2

Implémenter la validation de requête

Vérifiez l’authenticité de la requête entrante, hash ou signature, avant de répondre.
3

Renvoyer une décision stricte

Retournez HTTP 200 pour approuver ; toute réponse non 200 bloque le décaissement.
Le mode URL d’autorisation est strict : si votre endpoint est indisponible ou renvoie autre chose que 200, le décaissement n’est pas traité.

Contrôles de validation recommandés

Lorsque Payfonte appelle votre URL d’autorisation, validez :
  • L’authenticité de la requête, signature ou hash
  • La conformité du montant et de la devise avec vos règles métier
  • L’éligibilité du bénéficiaire au décaissement
  • La disponibilité des soldes, si vous appliquez des règles internes de portefeuille
  • Les plafonds journaliers, politiques AML ou risque et seuils de vélocité

Checklist de sécurité

Conserver les secrets côté serveur

N’exposez jamais le PIN de décaissement ni les secrets d’autorisation dans du code navigateur ou mobile.
L’URL d’autorisation doit être accessible publiquement via HTTPS.
Si les contrôles de signature ou de hash échouent, rejetez la demande d’autorisation.
Journalisez les décisions approuvées comme rejetées, avec leur raison, pour la conformité et le dépannage.

Documentation associée

Vue d'ensemble des décaissements

Flux de décaissement complet et utilisation des endpoints.

Webhooks de décaissement

Traitez les mises à jour de statut asynchrones.

Exemples de décaissement

Requêtes et réponses prêtes à copier.