Registrar endpoint
En Ajustes → Integraciones → Webhooks agregá URL HTTPS pública. Elegí eventos: message.received, message.status, session.disconnected según necesidad.
Guardá el secret mostrado una sola vez; lo usarás para validar HMAC del cuerpo.
Verificación de firma
Cada POST incluye cabecera con firma del payload. Calculá HMAC-SHA256 con tu secret y compará en tiempo constante antes de procesar.
Rechazá requests sin firma válida con 401; no expongas detalles internos en el body de respuesta.
Forma del payload (resumen)
message.received: id de mensaje, texto o tipo media, timestamp, conversación vinculada a tu compañía.
session.disconnected: aviso para reconectar QR desde dashboard.
Los esquemas exactos pueden evolucionar; versioná tu consumidor y leé changelog en docs.
Reintentos
Si tu servidor tarda o falla, Kipu reintenta con backoff. Respondé 200 en menos de cinco segundos y procesá en cola interna.
Implementá idempotencia por message id para no duplicar acciones.
Buenas prácticas retail
No auto-respondas promesas de stock sin consultar API de inventario. No almacenes conversaciones completas si no necesitás cumplir retención legal.
Ayuda: support@kipuapp.store.