Webhooks

Visão Geral

Webhooks permitem que você receba notificações HTTP automáticas quando eventos importantes acontecem na sua conta, como pagamentos confirmados, reembolsos processados ou saques concluídos.

Eventos Disponíveis

Evento	Descrição
`payment_completed`	Pagamento foi confirmado com sucesso
`refund_completed`	Reembolso foi processado
`withdrawal_completed`	Saque foi processado com sucesso
`withdrawal_failed`	Saque foi rejeitado ou falhou

Estrutura do Payload

Todos os webhooks seguem a mesma estrutura base:

{
  "event": "payment_completed",
  "eventId": "a0b78f10-c7f4-4f5d-98dd-3e36eafeb812",
  "timestamp": "2026-01-11T19:03:28.280Z",
  "data": {
    // Dados específicos do evento
  }
}

Campo	Tipo	Descrição
`event`	string	Tipo do evento
`eventId`	string	ID único do evento (geralmente o ID da transação)
`timestamp`	string	Data/hora do evento em formato ISO 8601
`data`	object	Dados específicos do evento

Headers Enviados

Cada requisição de webhook inclui os seguintes headers:

Header	Descrição
`Content-Type`	`application/json`
`X-Webhook-Signature`	Assinatura HMAC-SHA256 do payload
`X-Webhook-Timestamp`	Timestamp em milliseconds

Validando a Assinatura

Cada webhook é assinado com HMAC-SHA256 para garantir autenticidade. Siga estes passos para validar:

Calcule a signing key: SHA256(seu_webhook_secret) em hex
Calcule o HMAC-SHA256 do body da requisição usando a signing key
Compare o resultado com o header X-Webhook-Signature usando comparação em tempo constante

import { verifyWebhookSignature, parseWebhook } from '@pague-dev/sdk-node';

app.post('/webhook', (req, res) => {
  const signature = req.headers['x-webhook-signature'] as string;
  const rawBody = req.body; // raw string body

  if (!verifyWebhookSignature(rawBody, signature, 'seu_webhook_secret')) {
    return res.status(401).send('Assinatura inválida');
  }

  const event = parseWebhook(rawBody);
  if (!event) {
    return res.status(400).send('Payload inválido');
  }

  // Processar o evento...
  res.status(200).send('OK');
});

Sempre use comparação em tempo constante (timingSafeEqual) para evitar ataques de timing. Nunca compare assinaturas com ===.

Exemplos de Payload

payment_completed

Enviado quando um pagamento PIX é confirmado.

{
  "event": "payment_completed",
  "eventId": "a0b78f10-c7f4-4f5d-98dd-3e36eafeb812",
  "timestamp": "2026-01-11T19:03:28.280Z",
  "data": {
    "transactionId": "a0b78f10-c7f4-4f5d-98dd-3e36eafeb812",
    "environment": "sandbox",
    "amount": 100.21,
    "feeAmount": 0.5,
    "netAmount": 99.71,
    "currency": "BRL",
    "paymentMethod": "pix",
    "status": "completed",
    "completedAt": "2026-01-11T19:03:28.277Z",
    "externalReference": "pedido-12345",
    "metadata": {
      "orderId": "ORDER-12345",
      "customerId": "CUST-67890"
    }
  }
}

Campo	Tipo	Descrição
`transactionId`	string	ID único da transação
`environment`	string	Ambiente (`production` ou `sandbox`)
`amount`	number	Valor total do pagamento
`feeAmount`	number	Taxa cobrada
`netAmount`	number	Valor líquido (amount - feeAmount)
`currency`	string	Moeda (BRL)
`paymentMethod`	string	Método de pagamento (pix)
`status`	string	Status do pagamento (completed)
`completedAt`	string	Data/hora da conclusão em ISO 8601
`externalReference`	string	Sua referência externa (opcional)
`metadata`	object	Metadados customizados enviados na criação do pagamento (opcional)

refund_completed

Enviado quando um reembolso é processado.

{
  "event": "refund_completed",
  "eventId": "c92d45e6-8b33-4f12-a789-2e56f8901def",
  "timestamp": "2026-01-11T19:22:15.456Z",
  "data": {
    "refundTransactionId": "c92d45e6-8b33-4f12-a789-2e56f8901def",
    "originalTransactionId": "a0b78f10-c7f4-4f5d-98dd-3e36eafeb812",
    "environment": "sandbox",
    "amount": 50.00,
    "feeAmount": 0.25,
    "netAmount": 49.75,
    "currency": "BRL",
    "status": "completed",
    "completedAt": "2026-01-11T19:22:15.400Z",
    "metadata": {
      "orderId": "ORDER-12345",
      "customerId": "CUST-67890"
    }
  }
}

Campo	Tipo	Descrição
`refundTransactionId`	string	ID único da transação de reembolso
`originalTransactionId`	string	ID da transação original que foi reembolsada
`environment`	string	Ambiente (`production` ou `sandbox`)
`amount`	number	Valor do reembolso
`feeAmount`	number	Taxa do reembolso
`netAmount`	number	Valor líquido do reembolso
`currency`	string	Moeda (BRL)
`status`	string	Status do reembolso (completed)
`completedAt`	string	Data/hora da conclusão em ISO 8601
`metadata`	object	Metadados customizados do pagamento original (opcional)

withdrawal_completed

Enviado quando um saque é processado com sucesso.

{
  "event": "withdrawal_completed",
  "eventId": "e73775b5-70ee-4bad-be4c-4acff9890e27",
  "timestamp": "2026-01-11T19:08:21.953Z",
  "data": {
    "withdrawalId": "e73775b5-70ee-4bad-be4c-4acff9890e27",
    "environment": "sandbox",
    "amount": 500.00,
    "feeAmount": 2.50,
    "netAmount": 497.50,
    "currency": "BRL",
    "status": "completed",
    "completedAt": "2026-01-11T19:08:21.939Z",
    "metadata": {
      "batchId": "BATCH-001"
    }
  }
}

Campo	Tipo	Descrição
`withdrawalId`	string	ID único do saque
`environment`	string	Ambiente (`production` ou `sandbox`)
`amount`	number	Valor do saque
`feeAmount`	number	Taxa do saque
`netAmount`	number	Valor líquido transferido
`currency`	string	Moeda (BRL)
`status`	string	Status do saque (completed)
`completedAt`	string	Data/hora da conclusão em ISO 8601
`metadata`	object	Metadados customizados do saque (opcional)

withdrawal_failed

Enviado quando um saque é rejeitado ou falha.

{
  "event": "withdrawal_failed",
  "eventId": "b84f12c3-9a21-4e67-bc88-1d45f6789abc",
  "timestamp": "2026-01-11T19:15:42.123Z",
  "data": {
    "withdrawalId": "b84f12c3-9a21-4e67-bc88-1d45f6789abc",
    "environment": "sandbox",
    "amount": 1000.00,
    "feeAmount": 5.00,
    "netAmount": 995.00,
    "currency": "BRL",
    "status": "failed",
    "failedAt": "2026-01-11T19:15:42.100Z",
    "failureReason": "insufficient_funds",
    "metadata": {
      "batchId": "BATCH-001"
    }
  }
}

Campo	Tipo	Descrição
`withdrawalId`	string	ID único do saque
`environment`	string	Ambiente (`production` ou `sandbox`)
`amount`	number	Valor do saque
`feeAmount`	number	Taxa do saque
`netAmount`	number	Valor líquido que seria transferido
`currency`	string	Moeda (BRL)
`status`	string	Status do saque (failed)
`failedAt`	string	Data/hora da falha em ISO 8601
`failureReason`	string	Motivo da falha (insufficient_funds, invalid_account, etc.)
`metadata`	object	Metadados customizados do saque (opcional)

Boas Práticas

Responda rapidamente

Retorne um status 200 OK o mais rápido possível. Processe o webhook de forma assíncrona se necessário.

Implemente idempotência

Use o eventId para evitar processar o mesmo evento duas vezes. Webhooks podem ser reenviados em caso de falha.

Use HTTPS

Configure seu endpoint apenas com HTTPS para garantir a segurança dos dados.

Retentativas

Se o seu endpoint não responder com status 2xx, tentaremos reenviar o webhook:

5 tentativas com backoff exponencial
Intervalo inicial: 2 segundos
Intervalo máximo: ~30 segundos entre tentativas

Após 5 tentativas sem sucesso, o webhook é marcado como falho.

Visão Geral

PIX

Saques

Transações

Links de Pagamento

Clientes

Projetos

Métricas

Visão Geral

Eventos Disponíveis

Estrutura do Payload

Headers Enviados

Validando a Assinatura

Exemplos de Payload

payment_completed

refund_completed

withdrawal_completed

withdrawal_failed

Boas Práticas

Retentativas

Visão Geral

PIX

Saques

Transações

Links de Pagamento

Clientes

Projetos

Métricas

​Visão Geral

​Eventos Disponíveis

​Estrutura do Payload

​Headers Enviados

​Validando a Assinatura

​Exemplos de Payload

​payment_completed

​refund_completed

​withdrawal_completed

​withdrawal_failed

​Boas Práticas

​Retentativas

Visão Geral

Eventos Disponíveis

Estrutura do Payload

Headers Enviados

Validando a Assinatura

Exemplos de Payload

payment_completed

refund_completed

withdrawal_completed

withdrawal_failed

Boas Práticas

Retentativas