Matriz mínima en sandbox
Autenticación válida, llave revocada y scope insuficiente
Firma válida, firma alterada y timestamp vencido
Idempotencia repetida y conflicto por cuerpo diferente
Creación, consulta, actualización y cancelación de documentos de cobro
Pago aplicado, tasa certificada y consulta del resultado
Webhook válido, firma inválida, duplicado y reintento
Rate limiting y respeto de
Retry-AfterRequisitos del receptor de webhooks
- HTTPS con certificado válido.
- Conservación del cuerpo crudo.
- Comparación timing-safe de firmas.
- Respuesta rápida antes de ejecutar lógica pesada.
- Deduplicación durable por ID o combinación de evento y recurso.
- Monitoreo de errores y capacidad de reprocesar eventos.
Paso a producción
- Crea el partner y la llave nuevamente en producción.
- Replica únicamente los scopes aprobados.
- Configura el webhook productivo y su secreto propio.
- Cambia
COBRIX_BASE_URLahttps://api.cobrix.co/api. - Ejecuta un smoke test de bajo monto y verifica API, ledger, checkout y webhook.
- Rota cualquier credencial usada durante la certificación si fue compartida fuera del gestor de secretos.

