Appearance
Changelog
Les changements notables de l'API HayBTech sont documentés ici. Versioning SemVer sur le préfixe d'URL.
[1.5.0] - 2026-04-25
Ajouté (Couverture UEMOA Complète)
- Togo (TG) : TMoney TG, Moov Money TG, MTN MoMo TG.
- Bénin (BJ) : MTN MoMo BJ, Orange Money BJ, Moov Money BJ.
- Niger (NE) : MTN MoMo NE, Orange Money NE, Moov Money NE.
- HayBTech couvre désormais les 8 pays UEMOA : SN, CI, ML, BF, TG, BJ, NE, GW.
- Zéro gateway supplémentaire : les intégrations réutilisent les drivers existants avec des credentials par pays.
[1.4.0] - 2026-04-25
Ajouté (Expansion Mali & Burkina Faso)
- Couverture Mali (ML) : Orange Money ML, MTN MoMo ML, Moov Money ML.
- Couverture Burkina Faso (BF) : Orange Money BF, MTN MoMo BF, Moov Money BF.
- Zéro nouvelle démarche réglementaire : Mali et Burkina Faso sont membres UEMOA la licence BCEAO existante couvre les deux pays.
- Zéro modification d'intégration côté marchand : les routes API sont identiques, c'est le champ
countryqui détermine le pays cible.
[1.3.0] - 2026-04-25
Ajouté (Expansion Côte d'Ivoire)
- Couverture Côte d'Ivoire : HayBTech est désormais disponible en Côte d'Ivoire (XOF), sans modification requise côté intégrateur.
- MTN MoMo CI, Wave CI, Orange Money CI activés.
- Grille de frais CI : MTN MoMo 1.75 %, Wave 1.00 %, Orange Money 1.50 %.
[1.2.0] - 2026-04-25
Ajouté (Écosystème SDK Global)
- Lancement de 20 SDK et Plugins officiels : couverture totale Backend, Mobile, Web et CMS.
- SDK Backend (7) : PHP/Laravel, Node.js, Python, Ruby, Java/Spring Boot, Go, .NET/C#.
- SDK Mobile & Gaming (5) : Android (Kotlin), iOS (Swift), React Native, Flutter, Unity (C#).
- SDK Web Frontend (1) : HayBTech.js pour les intégrations natives et popups sécurisées.
- Plugins CMS & E-commerce (6) : WordPress/WooCommerce, Magento 2, PrestaShop, Drupal, Odoo, WHMCS.
- Guide No-Code : Instructions détaillées pour Wix (Velo), Shopify et Webflow.
Sécurité (Hardening SDK)
- Verrouillage Public Key : Tous les SDK Frontend/Mobile rejettent désormais systématiquement les clés secrètes (
sk_...) pour empêcher leur exposition accidentelle. - Immunité au Timing : Utilisation de fonctions de comparaison en temps constant dans 100% des SDK serveurs.
- Protection Anti-DoS Webhook : Limite de payload de 1 Mo et vérification de timestamp (Anti-replay) intégrée nativement dans tous les SDK.
- Zéro Dépendance : 90% des SDK sont construits sans bibliothèques tierces pour garantir une sécurité maximale de la chaîne d'approvisionnement.
Sécurité (Backend Hardening)
- Hachage des Clés API (SHA-256) : Les clés secrètes ne sont plus stockées en clair en base de données.
- Isolation Marchand (Tenant Isolation) : Sécurisation renforcée des accès aux ressources au niveau SQL.
- Rate-Limiting Avancé : Protection par IP et par marchand sur les routes sensibles (OTP).
[1.1.0]
Ajouté
- Mode agrégateur sur le canal Wave : passer
metadata.aggregated_merchant_idsurPOST /v1/paymentspour attribuer la session à un sous-marchand identifié côté canal. Utile pour les plateformes marketplace. - Validation renforcée de l'URL d'endpoint webhook : les URLs non-HTTPS, loopback (
localhost,127.x), IPs privées et TLDs internes sont rejetées à la création. Rend l'enregistrement volontairement plus strict, utile si votre dashboard est partagé avec des collaborateurs externes. - Masquage automatique des valeurs sensibles dans les logs d'API : si un marchand passe par erreur
?payer_phone=...ou?api_key=...dans une query string, la valeur est remplacée par[REDACTED]avant persistance dans les logs consultables en support.
Modifié (compatible)
- Références publiques portées à 16 caractères aléatoires après le préfixe. Exemples :
TXN-A1B2C3D4E5F6G7H8. Si votre code hardcode la longueur, passer de 14 à 20 caractères. Les anciennes références restent valides et lisibles. - Événements webhooks canaux : seuls les événements effectivement émis par chaque canal partenaire sont propagés. Les transitions abandon/expiration sont toujours émises par HayBTech sous forme de
payment.cancelled/payment.expireddans votre webhook sortant.
Sécurité
- Signatures timestampées exigées en option par canal (flag interne). Les merchants n'ont rien à changer ; le flag est piloté côté admin HayBTech à l'activation de chaque environnement.
- Concurrence-safety renforcée sur les opérations qui écrivent plusieurs lignes (splits marketplace notamment). Deux requêtes parallèles sur la même transaction parent sont désormais sérialisées.
- Header
X-XSS-Protectionretiré (déprécié, source de faux-positifs sur anciens navigateurs). La protection XSS réelle est assurée par la Content-Security-Policy. - Quota sur la création de nouvelles
Idempotency-Keypar compte marchand pour protéger la plateforme d'une clé compromise générant un UUID à chaque requête. Les replays de clés existantes ne sont pas impactés.
Canaux en production
- Wave Sénégal
- Orange Money Sénégal
- Free Money Sénégal
[1.0.0]
Première version publique de l'API.
Ajouté
- Paiements :
POST /v1/paymentsavec idempotency obligatoire, hosted checkout sansprovider, supportnext_action(OTP/3DS/USSD). - Vérification pull :
POST /v1/payments/{id}/verify. - Webhooks signés HMAC-SHA256 timestampés, retry exponentiel, rotation de secret sans coupure.
- Splits marketplace :
POSTetGET /v1/payments/{id}/splitsavec invariants (somme du total, bénéficiaire actif, immutabilité). - Customer auto-géré lors de l'initiation.
- FX freeze : taux gelé à l'initiation quand les devises diffèrent.
- Réconciliation automatique pour rattraper les webhooks perdus.
- Expiration automatique des transactions non finalisées.
Sécurité
- TLS 1.2 minimum.
- URL webhook marchand : HTTPS imposé.
- Anti-replay sur les signatures entrantes et sortantes.
- Conservation des ressources selon les exigences réglementaires applicables.
Canaux intégrés
- Wave Sénégal
- Orange Money Sénégal
- Free Money Sénégal
[Unreleased]
Prévu
- Tokenisation mobile money pour abonnements récurrents
- Extensions du catalogue de canaux
- SDK clients officiels
- Plugins pour les CMS e-commerce les plus courants
Politique de versioning
- Patch (1.0.x) : corrections de bugs, optimisations, sans changement d'API.
- Minor (1.x.0) : nouveaux endpoints, nouveaux champs optionnels, nouveaux canaux. Compatible.
- Major (x.0.0) : changements incompatibles. Annoncés plusieurs mois à l'avance, support de l'ancienne version maintenu pendant une période transitoire.
Aucun champ existant n'est jamais retiré ou renommé sans un changement de version majeur. Les nouveaux champs optionnels peuvent apparaître à tout moment dans une minor.
Souscrire aux annonces
- Dashboard -> Paramètres -> Notifications -> Changements API
- Email de récap pour les marchands en production
