Skip to content

Changelog

Les changements notables de l'API HayBTech sont documentés ici. Versioning SemVer sur le préfixe d'URL.

[1.5.0] - 2026-04-25

Ajouté (Couverture UEMOA Complète)

  • Togo (TG) : TMoney TG, Moov Money TG, MTN MoMo TG.
  • Bénin (BJ) : MTN MoMo BJ, Orange Money BJ, Moov Money BJ.
  • Niger (NE) : MTN MoMo NE, Orange Money NE, Moov Money NE.
  • HayBTech couvre désormais les 8 pays UEMOA : SN, CI, ML, BF, TG, BJ, NE, GW.
  • Zéro gateway supplémentaire : les intégrations réutilisent les drivers existants avec des credentials par pays.

[1.4.0] - 2026-04-25

Ajouté (Expansion Mali & Burkina Faso)

  • Couverture Mali (ML) : Orange Money ML, MTN MoMo ML, Moov Money ML.
  • Couverture Burkina Faso (BF) : Orange Money BF, MTN MoMo BF, Moov Money BF.
  • Zéro nouvelle démarche réglementaire : Mali et Burkina Faso sont membres UEMOA la licence BCEAO existante couvre les deux pays.
  • Zéro modification d'intégration côté marchand : les routes API sont identiques, c'est le champ country qui détermine le pays cible.

[1.3.0] - 2026-04-25

Ajouté (Expansion Côte d'Ivoire)

  • Couverture Côte d'Ivoire : HayBTech est désormais disponible en Côte d'Ivoire (XOF), sans modification requise côté intégrateur.
  • MTN MoMo CI, Wave CI, Orange Money CI activés.
  • Grille de frais CI : MTN MoMo 1.75 %, Wave 1.00 %, Orange Money 1.50 %.

[1.2.0] - 2026-04-25

Ajouté (Écosystème SDK Global)

  • Lancement de 20 SDK et Plugins officiels : couverture totale Backend, Mobile, Web et CMS.
  • SDK Backend (7) : PHP/Laravel, Node.js, Python, Ruby, Java/Spring Boot, Go, .NET/C#.
  • SDK Mobile & Gaming (5) : Android (Kotlin), iOS (Swift), React Native, Flutter, Unity (C#).
  • SDK Web Frontend (1) : HayBTech.js pour les intégrations natives et popups sécurisées.
  • Plugins CMS & E-commerce (6) : WordPress/WooCommerce, Magento 2, PrestaShop, Drupal, Odoo, WHMCS.
  • Guide No-Code : Instructions détaillées pour Wix (Velo), Shopify et Webflow.

Sécurité (Hardening SDK)

  • Verrouillage Public Key : Tous les SDK Frontend/Mobile rejettent désormais systématiquement les clés secrètes (sk_...) pour empêcher leur exposition accidentelle.
  • Immunité au Timing : Utilisation de fonctions de comparaison en temps constant dans 100% des SDK serveurs.
  • Protection Anti-DoS Webhook : Limite de payload de 1 Mo et vérification de timestamp (Anti-replay) intégrée nativement dans tous les SDK.
  • Zéro Dépendance : 90% des SDK sont construits sans bibliothèques tierces pour garantir une sécurité maximale de la chaîne d'approvisionnement.

Sécurité (Backend Hardening)

  • Hachage des Clés API (SHA-256) : Les clés secrètes ne sont plus stockées en clair en base de données.
  • Isolation Marchand (Tenant Isolation) : Sécurisation renforcée des accès aux ressources au niveau SQL.
  • Rate-Limiting Avancé : Protection par IP et par marchand sur les routes sensibles (OTP).

[1.1.0]

Ajouté

  • Mode agrégateur sur le canal Wave : passer metadata.aggregated_merchant_id sur POST /v1/payments pour attribuer la session à un sous-marchand identifié côté canal. Utile pour les plateformes marketplace.
  • Validation renforcée de l'URL d'endpoint webhook : les URLs non-HTTPS, loopback (localhost, 127.x), IPs privées et TLDs internes sont rejetées à la création. Rend l'enregistrement volontairement plus strict, utile si votre dashboard est partagé avec des collaborateurs externes.
  • Masquage automatique des valeurs sensibles dans les logs d'API : si un marchand passe par erreur ?payer_phone=... ou ?api_key=... dans une query string, la valeur est remplacée par [REDACTED] avant persistance dans les logs consultables en support.

Modifié (compatible)

  • Références publiques portées à 16 caractères aléatoires après le préfixe. Exemples : TXN-A1B2C3D4E5F6G7H8. Si votre code hardcode la longueur, passer de 14 à 20 caractères. Les anciennes références restent valides et lisibles.
  • Événements webhooks canaux : seuls les événements effectivement émis par chaque canal partenaire sont propagés. Les transitions abandon/expiration sont toujours émises par HayBTech sous forme de payment.cancelled / payment.expired dans votre webhook sortant.

Sécurité

  • Signatures timestampées exigées en option par canal (flag interne). Les merchants n'ont rien à changer ; le flag est piloté côté admin HayBTech à l'activation de chaque environnement.
  • Concurrence-safety renforcée sur les opérations qui écrivent plusieurs lignes (splits marketplace notamment). Deux requêtes parallèles sur la même transaction parent sont désormais sérialisées.
  • Header X-XSS-Protection retiré (déprécié, source de faux-positifs sur anciens navigateurs). La protection XSS réelle est assurée par la Content-Security-Policy.
  • Quota sur la création de nouvelles Idempotency-Key par compte marchand pour protéger la plateforme d'une clé compromise générant un UUID à chaque requête. Les replays de clés existantes ne sont pas impactés.

Canaux en production

  • Wave Sénégal
  • Orange Money Sénégal
  • Free Money Sénégal

[1.0.0]

Première version publique de l'API.

Ajouté

  • Paiements : POST /v1/payments avec idempotency obligatoire, hosted checkout sans provider, support next_action (OTP/3DS/USSD).
  • Vérification pull : POST /v1/payments/{id}/verify.
  • Webhooks signés HMAC-SHA256 timestampés, retry exponentiel, rotation de secret sans coupure.
  • Splits marketplace : POST et GET /v1/payments/{id}/splits avec invariants (somme du total, bénéficiaire actif, immutabilité).
  • Customer auto-géré lors de l'initiation.
  • FX freeze : taux gelé à l'initiation quand les devises diffèrent.
  • Réconciliation automatique pour rattraper les webhooks perdus.
  • Expiration automatique des transactions non finalisées.

Sécurité

  • TLS 1.2 minimum.
  • URL webhook marchand : HTTPS imposé.
  • Anti-replay sur les signatures entrantes et sortantes.
  • Conservation des ressources selon les exigences réglementaires applicables.

Canaux intégrés

  • Wave Sénégal
  • Orange Money Sénégal
  • Free Money Sénégal

[Unreleased]

Prévu

  • Tokenisation mobile money pour abonnements récurrents
  • Extensions du catalogue de canaux
  • SDK clients officiels
  • Plugins pour les CMS e-commerce les plus courants

Politique de versioning

  • Patch (1.0.x) : corrections de bugs, optimisations, sans changement d'API.
  • Minor (1.x.0) : nouveaux endpoints, nouveaux champs optionnels, nouveaux canaux. Compatible.
  • Major (x.0.0) : changements incompatibles. Annoncés plusieurs mois à l'avance, support de l'ancienne version maintenu pendant une période transitoire.

Aucun champ existant n'est jamais retiré ou renommé sans un changement de version majeur. Les nouveaux champs optionnels peuvent apparaître à tout moment dans une minor.

Souscrire aux annonces

  • Dashboard -> Paramètres -> Notifications -> Changements API
  • Email de récap pour les marchands en production

Documentation de l'API de paiement HayBTech.