Entrega de código OTP 3DS

EVENT<client-url>/threeds/v1/otp-code

Pomelo envía este webhook cuando una autenticación 3DS requiere challenge y el integrador necesita entregar el código OTP al usuario final.

El body incluye el código OTP y campos opcionales con contexto útil para personalizar el envío, como nombre del comercio, monto o datos del titular.

Los códigos OTP tienen una validez de 5 minutos.

Seguridad

Cada request incluye headers para identificar la configuración de credenciales y verificar la firma del mensaje.

Recomendaciones:

Validar X-Signature antes de procesar el body.
Rechazar requests con X-Timestamp vencido (más de 5 minutos de diferencia con el tiempo actual).
Usar idempotency_key para evitar procesamiento duplicado.

Reintentos

Pomelo espera una respuesta 2xx para considerar la entrega exitosa.

Si el endpoint responde 4xx, 5xx o no responde a tiempo, el evento puede reenviarse. La excepción es 409: si ya procesaste el evento con ese idempotency_key, respondé con 409 y Pomelo no lo reintentará.

Parámetros disponibles

Header Parameters

X-Api-KeyStringrequired

X-SignatureStringrequired

X-TimestampStringrequired

X-EndpointStringrequired

Cuerpo de solicitud

application/json

otpstringrequired

card_idstring

phonestring

emailstringemail

usernamestring

merchant_namestring

transaction_amountstring

transaction_currencystring

Ejemplo de solicitud

{
  "event_id": "otp_sent",
  "idempotency_key": "b1c35040-0668-4c8c-8d50-76273b6c4584",
  "otp": "436249",
  "card_id": "crd-2T5s6CzCarcg7zXmyihrTjSGNrn",
  "username": "Juan Perez",
  "email": "[email protected]",
  "phone": "1123456789",
  "merchant_name": "AIRBNB.COM",
  "transaction_amount": "5.00",
  "transaction_currency": "MXN"
}

Webhook de Inicio de Challenge OOB

Resultado final de autenticación 3DS