Skip to content

Instantly share code, notes, and snippets.

@dantetesta

dantetesta/Guia Completo de Integração Mercado Pago.md

Created February 24, 2026 00:02
Show Gist options

  • Select an option

    Learn more about clone URLs
  • Save dantetesta/0790293e9b3daba09c7a886b35394628 to your computer and use it in GitHub Desktop.

Select an option

Learn more about clone URLs
Save dantetesta/0790293e9b3daba09c7a886b35394628 to your computer and use it in GitHub Desktop.
Download ZIP
Guia Completo de Integração Mercado Pago
Raw
Guia Completo de Integração Mercado Pago.md

💳 Guia Completo de Integração Mercado Pago

Versão: 2.1.6
Autor: Dante Testa
Data: 2026-02-23
Objetivo: Documentação técnica para implementar integração Mercado Pago com PIX e Cartão de Crédito/Débito

📋 Índice

  1. Visão Geral
  2. Arquitetura da Solução
  3. Credenciais e Configuração
  4. Fluxo de Pagamento PIX
  5. Fluxo de Pagamento Cartão
  6. Webhook e Notificações
  7. Segurança e Anti-Fraude
  8. Código de Implementação
  9. Checklist de Produção

🎯 Visão Geral

Esta integração implementa pagamentos via Mercado Pago com suporte a:

  • PIX — QR Code dinâmico com expiração de 30 minutos
  • Cartão de Crédito — Tokenização PCI-compliant
  • Cartão de Débito — Tokenização PCI-compliant
  • Webhook HMAC-SHA256 — Notificações seguras
  • Anti-fraude — Validação de valor, rate limiting, double-submit guard

Características Principais

Característica Implementação
PCI DSS Compliance ✅ SAQ A (tokenização via MP)
Armazenamento de dados ❌ Nenhum dado de cartão é salvo
Comunicação HTTPS TLS 1.2+ obrigatório
Idempotência UUID v4 em cada requisição
Retry em erro 500 1 tentativa com 1s de delay
Timeout 15 segundos por requisição

🏗️ Arquitetura da Solução

Estrutura de Classes

┌─────────────────────────────────────────┐
│         WS_Gateway (abstrata)           │
│  ┌────────────────────────────────────┐ │
│  │ criarCobranca(array): array        │ │
│  │ verificarPagamento(string): array  │ │
│  │ cancelarCobranca(string): bool     │ │
│  └────────────────────────────────────┘ │
└─────────────────────────────────────────┘
                    ▲
                    │
        ┌───────────┴───────────┐
        │                       │
┌───────────────┐    ┌──────────────────────┐
│ WS_Gateway_   │    │ WS_Gateway_          │
│ Pagou         │    │ MercadoPago          │
│               │    │                      │
│ (PIX only)    │    │ (PIX + Cartão)       │
└───────────────┘    └──────────────────────┘

Fluxo de Dados

┌──────────┐     ┌──────────┐     ┌──────────┐     ┌──────────┐
│ Frontend │────▶│   API    │────▶│ Gateway  │────▶│ Mercado  │
│          │     │   PIX    │     │   MP     │     │   Pago   │
└──────────┘     └──────────┘     └──────────┘     └──────────┘
     │                │                 │                 │
     │                │                 │                 ▼
     │                │                 │           ┌──────────┐
     │                │                 │           │ Webhook  │
     │                │                 │           │ Callback │
     │                │                 │           └──────────┘
     │                │                 │                 │
     │                │                 ▼                 ▼
     │                │           ┌──────────┐     ┌──────────┐
     │                │           │  Banco   │◀────│ Validar  │
     │                │           │  Dados   │     │   HMAC   │
     │                │           └──────────┘     └──────────┘
     │                ▼
     │          ┌──────────┐
     └─────────▶│ Polling  │
                │ Status   │
                └──────────┘

🔑 Credenciais e Configuração

1. Obter Credenciais no Mercado Pago

Painel: https://www.mercadopago.com.br/developers

  1. Acesse Suas integrações → Credenciais
  2. Copie o Access Token de Produção (APP_USR-...)
  3. Acesse Webhooks e crie um novo webhook
  4. Configure a URL: https://seusite.com/ws-api/webhook/mercadopago
  5. Copie o Webhook Secret gerado

2. Configurar no Sistema

Opção A: Variáveis de Ambiente (.env)

MP_ACCESS_TOKEN=APP_USR-1234567890-123456-abcdef1234567890abcdef1234567890-123456789
MP_WEBHOOK_SECRET=abcdef1234567890abcdef1234567890abcdef1234567890abcdef1234567890
MP_MAX_VALOR=500.00

Opção B: Banco de Dados (WordPress)

update_option('ws_mp_access_token', 'APP_USR-...');
update_option('ws_mp_webhook_secret', 'abcdef...');
update_option('ws_mp_max_valor', 500.00);

Opção C: Arquivo de Configuração

define('MP_ACCESS_TOKEN', 'APP_USR-...');
define('MP_WEBHOOK_SECRET', 'abcdef...');
define('MP_MAX_VALOR', 500.00);

💰 Fluxo de Pagamento PIX

1. Criar Cobrança PIX

Endpoint: POST https://api.mercadopago.com/v1/payments

Headers:

[
    'Authorization'     => 'Bearer ' . $access_token,
    'Content-Type'      => 'application/json',
    'X-Idempotency-Key' => uuid_v4(), // Previne duplicação
]

Payload:

{
    "transaction_amount": 10.00,
    "description": "Compra de 10 Créditos",
    "payment_method_id": "pix",
    "date_of_expiration": "2026-02-23T23:30:00.000-03:00",
    "payer": {
        "email": "cliente@email.com",
        "first_name": "João",
        "last_name": "Silva",
        "identification": {
            "type": "CPF",
            "number": "12345678900"
        }
    }
}

Resposta de Sucesso:

{
    "id": 123456789,
    "status": "pending",
    "point_of_interaction": {
        "transaction_data": {
            "qr_code": "00020126580014br.gov.bcb.pix...",
            "qr_code_base64": "iVBORw0KGgoAAAANSUhEUgAA..."
        }
    }
}

2. Exibir QR Code ao Usuário

<!-- QR Code Base64 -->
<img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAA..." alt="QR Code PIX">

<!-- Código Copia e Cola -->
<input type="text" value="00020126580014br.gov.bcb.pix..." readonly>
<button onclick="copiarPix()">Copiar Código PIX</button>

3. Polling de Status

Endpoint: GET https://api.mercadopago.com/v1/payments/{payment_id}

Verificar a cada 3-5 segundos:

async function verificarPagamento(paymentId) {
    const response = await fetch(`/api/pix/verificar?id=${paymentId}`);
    const data = await response.json();
    
    if (data.pago) {
        // Pagamento confirmado!
        window.location.href = '/sucesso';
    }
}

setInterval(() => verificarPagamento(paymentId), 3000);

�� Fluxo de Pagamento Cartão

1. Tokenizar Cartão

⚠️ CRÍTICO: Nunca armazene dados de cartão. Use tokenização.

Endpoint: POST https://api.mercadopago.com/v1/card_tokens

Payload:

{
    "card_number": "5031433215406351",
    "expiration_month": 11,
    "expiration_year": 2025,
    "security_code": "123",
    "cardholder": {
        "name": "JOÃO SILVA",
        "identification": {
            "type": "CPF",
            "number": "12345678900"
        }
    }
}

Resposta:

{
    "id": "ff8080814c11e237014c1ff593b57b4d",
    "public_key": null,
    "first_six_digits": "503143",
    "expiration_month": 11,
    "expiration_year": 2025,
    "last_four_digits": "6351",
    "cardholder": {
        "name": "JOÃO SILVA",
        "identification": {
            "number": "12345678900",
            "type": "CPF"
        }
    }
}

2. Criar Pagamento com Token

Endpoint: POST https://api.mercadopago.com/v1/payments

Payload:

{
    "transaction_amount": 10.00,
    "description": "Compra de 10 Créditos",
    "installments": 1,
    "token": "ff8080814c11e237014c1ff593b57b4d",
    "payer": {
        "email": "cliente@email.com",
        "first_name": "João",
        "last_name": "Silva",
        "identification": {
            "type": "CPF",
            "number": "12345678900"
        }
    }
}

3. Mapeamento de Status

const STATUS_MAP = [
    'pending'       => false, // Aguardando pagamento
    'approved'      => true,  // ✅ Aprovado
    'authorized'    => false, // Pré-autorizado
    'in_process'    => false, // Em processamento
    'in_mediation'  => false, // Em mediação
    'rejected'      => false, // ❌ Rejeitado
    'cancelled'     => false, // Cancelado
    'refunded'      => false, // Estornado
    'charged_back'  => false, // Chargeback
];

4. Tratamento de Erros

Erros de Tokenização:

$error_map = [
    '205'  => 'Número do cartão inválido.',
    '208'  => 'Mês de validade inválido.',
    '209'  => 'Ano de validade inválido.',
    '212'  => 'CPF inválido.',
    '224'  => 'CVV inválido.',
    'E301' => 'Número do cartão inválido.',
    'E302' => 'CVV inválido.',
];

Erros de Rejeição:

$rejection_map = [
    'cc_rejected_bad_filled_card_number'   => 'Número do cartão inválido.',
    'cc_rejected_bad_filled_date'          => 'Data de validade inválida.',
    'cc_rejected_bad_filled_security_code' => 'CVV inválido.',
    'cc_rejected_insufficient_amount'      => 'Saldo insuficiente.',
    'cc_rejected_high_risk'                => 'Pagamento recusado por segurança.',
];

🔔 Webhook e Notificações

1. Validação HMAC-SHA256

⚠️ OBRIGATÓRIO: Sempre valide a assinatura do webhook.

Headers Recebidos:

x-signature: ts=1234567890,v1=abcdef1234567890...
x-request-id: uuid-v4-request-id

Algoritmo de Validação:

function validar_webhook(string $body_raw, array $headers): bool {
    // 1. Extrair x-signature
    $x_signature = $headers['x-signature'] ?? '';
    if (empty($x_signature)) {
        return false;
    }
    
    // 2. Parse ts e v1
    $parts = [];
    foreach (explode(',', $x_signature) as $part) {
        [$key, $value] = explode('=', trim($part), 2);
        $parts[trim($key)] = trim($value);
    }
    
    $ts   = $parts['ts'] ?? '';
    $hash = $parts['v1'] ?? '';
    
    if (empty($ts) || empty($hash)) {
        return false;
    }
    
    // 3. Extrair x-request-id
    $x_request_id = $headers['x-request-id'] ?? '';
    
    // 4. Extrair data.id do body
    $body = json_decode($body_raw, true);
    $data_id = (string) ($body['data']['id'] ?? '');
    
    // 5. Construir manifest
    $manifest = "id:{$data_id};request-id:{$x_request_id};ts:{$ts};";
    
    // 6. Calcular HMAC
    $secret   = getenv('MP_WEBHOOK_SECRET');
    $computed = hash_hmac('sha256', $manifest, $secret);
    
    // 7. Comparar (timing-safe)
    return hash_equals($computed, $hash);
}

2. Processar Notificação

Payload do Webhook:

{
    "action": "payment.updated",
    "api_version": "v1",
    "data": {
        "id": "123456789"
    },
    "date_created": "2026-02-23T20:00:00Z",
    "id": "987654321",
    "live_mode": true,
    "type": "payment",
    "user_id": "123456"
}

Fluxo de Processamento:

function processar_webhook(array $dados): void {
    $tipo = $dados['type'] ?? $dados['action'] ?? '';
    
    // Apenas processar eventos de pagamento
    if (!in_array($tipo, ['payment.created', 'payment.updated', 'payment'])) {
        return;
    }
    
    $payment_id = $dados['data']['id'] ?? '';
    if (empty($payment_id)) {
        return;
    }
    
    // Buscar transação no banco
    $transacao = buscar_transacao_por_gateway_id($payment_id);
    if (!$transacao || $transacao['status'] === 'pago') {
        return; // Já processado (idempotência)
    }
    
    // Verificar status do pagamento na API
    $resultado = verificar_pagamento_mp($payment_id);
    
    if ($resultado['pago']) {
        // ⚠️ VALIDAÇÃO ANTI-FRAUDE: Cross-check de valor
        $valor_mp = round($resultado['dados']['transaction_amount'], 2);
        $valor_db = round($transacao['valor'], 2);
        
        if (abs($valor_mp - $valor_db) > 0.01) {
            log_fraude('Valor divergente', [
                'payment_id' => $payment_id,
                'valor_mp'   => $valor_mp,
                'valor_db'   => $valor_db,
            ]);
            return; // Não confirmar pagamento
        }
        
        // Confirmar pagamento (atômico)
        confirmar_pagamento($transacao['id']);
        
        // Enviar email de confirmação
        enviar_email_confirmacao($transacao);
    }
}

🛡️ Segurança e Anti-Fraude

1. Camadas de Segurança Implementadas

Camada Implementação Código
CSRF Protection Token único por sessão validar_csrf()
Rate Limiting Max 10 req/min por usuário rate_limit('pix_verificar', user_id, 10, 60)
Webhook HMAC SHA-256 timing-safe hash_equals($computed, $hash)
Validação de Valor Cross-check MP vs DB abs($valor_mp - $valor_db) > 0.01
Teto de Valor Max R$ 500 por transação $valor > MAX_VALOR
Double-Submit Guard Flag _processando if (window._processando) return;
Idempotency-Key UUID v4 por requisição X-Idempotency-Key: uuid()
Idempotência Webhook No-op se já pago if ($status === 'pago') return;

2. Checklist de Segurança

✅ Nenhum dado de cartão é armazenado
✅ Tokenização PCI-compliant via MP
✅ HTTPS TLS 1.2+ obrigatório
✅ Webhook HMAC sempre validado
✅ Cross-check de valor no webhook
✅ Prepared statements em SQL
✅ Sanitização de todos os inputs
✅ Logging sem dados sensíveis
✅ Rate limiting em endpoints críticos
✅ Timeout de 15s em requisições

3. Conformidade PCI DSS

Nível SAQ A — Você está em conformidade porque:

  1. ❌ Não armazena dados de cartão
  2. ✅ Usa tokenização do gateway
  3. ❌ Não processa CVV diretamente
  4. ✅ Dados trafegam via HTTPS
  5. ❌ Não loga dados sensíveis

💻 Código de Implementação

1. Classe Gateway (PHP)

<?php
class Gateway_MercadoPago {
    
    private string $api_url = 'https://api.mercadopago.com';
    private const TIMEOUT = 15;
    private const EXPIRACAO_MIN = 30;
    
    private function access_token(): string {
        return getenv('MP_ACCESS_TOKEN');
    }
    
    private function headers(): array {
        return [
            'Authorization'     => 'Bearer ' . $this->access_token(),
            'Content-Type'      => 'application/json',
            'X-Idempotency-Key' => $this->uuid_v4(),
        ];
    }
    
    public function criar_cobranca_pix(array $dados): array {
        $payload = [
            'transaction_amount' => round($dados['valor'], 2),
            'description'        => $dados['descricao'],
            'payment_method_id'  => 'pix',
            'date_of_expiration' => gmdate('Y-m-d\TH:i:s.000P', strtotime('+30 minutes')),
            'payer'              => [
                'email'          => $dados['email'],
                'first_name'     => $dados['nome'],
                'identification' => [
                    'type'   => 'CPF',
                    'number' => preg_replace('/\D/', '', $dados['cpf']),
                ],
            ],
        ];
        
        $response = $this->post('/v1/payments', $payload);
        
        if (!$response['sucesso']) {
            return ['sucesso' => false, 'erro' => $response['erro']];
        }
        
        $body = $response['dados'];
        $transaction_data = $body['point_of_interaction']['transaction_data'] ?? [];
        
        return [
            'sucesso'      => true,
            'gateway_id'   => (string) $body['id'],
            'pix_codigo'   => $transaction_data['qr_code'] ?? '',
            'pix_qr_image' => 'data:image/png;base64,' . ($transaction_data['qr_code_base64'] ?? ''),
        ];
    }
    
    public function criar_cobranca_cartao(array $dados): array {
        // 1. Tokenizar cartão
        $token_payload = [
            'card_number'      => $dados['cartao']['numero'],
            'expiration_month' => (int) $dados['cartao']['mes'],
            'expiration_year'  => (int) $dados['cartao']['ano'],
            'security_code'    => $dados['cartao']['cvv'],
            'cardholder'       => [
                'name'           => $dados['cartao']['titular'],
                'identification' => [
                    'type'   => 'CPF',
                    'number' => preg_replace('/\D/', '', $dados['cpf']),
                ],
            ],
        ];
        
        $token_response = $this->post('/v1/card_tokens', $token_payload);
        
        if (!$token_response['sucesso']) {
            return ['sucesso' => false, 'erro' => 'Erro ao processar cartão'];
        }
        
        $card_token = $token_response['dados']['id'] ?? '';
        
        // 2. Criar pagamento com token
        $payment_payload = [
            'transaction_amount' => round($dados['valor'], 2),
            'description'        => $dados['descricao'],
            'installments'       => 1,
            'token'              => $card_token,
            'payer'              => [
                'email'          => $dados['email'],
                'first_name'     => $dados['nome'],
                'identification' => [
                    'type'   => 'CPF',
                    'number' => preg_replace('/\D/', '', $dados['cpf']),
                ],
            ],
        ];
        
        $response = $this->post('/v1/payments', $payment_payload);
        
        if (!$response['sucesso']) {
            return ['sucesso' => false, 'erro' => $response['erro']];
        }
        
        $body = $response['dados'];
        $status = $body['status'] ?? '';
        
        return [
            'sucesso'    => true,
            'gateway_id' => (string) $body['id'],
            'aprovado'   => $status === 'approved',
        ];
    }
    
    public function verificar_pagamento(string $payment_id): array {
        $response = $this->get('/v1/payments/' . $payment_id);
        
        if (!$response['sucesso']) {
            return ['sucesso' => false, 'pago' => false];
        }
        
        $status = $response['dados']['status'] ?? '';
        
        return [
            'sucesso' => true,
            'pago'    => $status === 'approved',
            'dados'   => $response['dados'],
        ];
    }
    
    private function post(string $endpoint, array $data): array {
        $ch = curl_init($this->api_url . $endpoint);
        curl_setopt_array($ch, [
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_POST           => true,
            CURLOPT_POSTFIELDS     => json_encode($data),
            CURLOPT_HTTPHEADER     => $this->headers_array(),
            CURLOPT_TIMEOUT        => self::TIMEOUT,
            CURLOPT_SSL_VERIFYPEER => true,
        ]);
        
        $response = curl_exec($ch);
        $status   = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        curl_close($ch);
        
        return [
            'sucesso' => $status >= 200 && $status < 300,
            'status'  => $status,
            'dados'   => json_decode($response, true),
        ];
    }
    
    private function get(string $endpoint): array {
        $ch = curl_init($this->api_url . $endpoint);
        curl_setopt_array($ch, [
            CURLOPT_RETURNTRANSFER => true,
            CURLOPT_HTTPHEADER     => $this->headers_array(),
            CURLOPT_TIMEOUT        => self::TIMEOUT,
            CURLOPT_SSL_VERIFYPEER => true,
        ]);
        
        $response = curl_exec($ch);
        $status   = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        curl_close($ch);
        
        return [
            'sucesso' => $status >= 200 && $status < 300,
            'status'  => $status,
            'dados'   => json_decode($response, true),
        ];
    }
    
    private function headers_array(): array {
        $headers = [];
        foreach ($this->headers() as $key => $value) {
            $headers[] = "{$key}: {$value}";
        }
        return $headers;
    }
    
    private function uuid_v4(): string {
        return sprintf('%04x%04x-%04x-%04x-%04x-%04x%04x%04x',
            mt_rand(0, 0xffff), mt_rand(0, 0xffff),
            mt_rand(0, 0xffff),
            mt_rand(0, 0x0fff) | 0x4000,
            mt_rand(0, 0x3fff) | 0x8000,
            mt_rand(0, 0xffff), mt_rand(0, 0xffff), mt_rand(0, 0xffff)
        );
    }
}

2. Frontend (JavaScript)

// Criar pagamento PIX
async function criarPagamentoPix(dados) {
    const response = await fetch('/api/pagamentos/criar', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'X-CSRF-Token': getCsrfToken(),
        },
        body: JSON.stringify({
            metodo: 'pix',
            plano_id: dados.plano_id,
            cpf: dados.cpf,
        }),
    });
    
    const result = await response.json();
    
    if (result.sucesso) {
        exibirQRCode(result.pix_qr_image, result.pix_codigo);
        iniciarPolling(result.gateway_id);
    }
}

// Criar pagamento Cartão
async function criarPagamentoCartao(dados) {
    if (window._processando) return; // Guard double-submit
    window._processando = true;
    
    const response = await fetch('/api/pagamentos/criar', {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'X-CSRF-Token': getCsrfToken(),
        },
        body: JSON.stringify({
            metodo: 'credit_card',
            plano_id: dados.plano_id,
            cpf: dados.cpf,
            cartao: {
                numero: dados.numero.replace(/\D/g, ''),
                mes_expiracao: dados.mes,
                ano_expiracao: dados.ano,
                cvv: dados.cvv,
                nome_titular: dados.titular,
            },
        }),
    });
    
    window._processando = false;
    
    const result = await response.json();
    
    if (result.sucesso && result.aprovado) {
        window.location.href = '/sucesso';
    }
}

// Polling de status PIX
function iniciarPolling(paymentId) {
    const interval = setInterval(async () => {
        const response = await fetch(`/api/pagamentos/verificar?id=${paymentId}`);
        const result = await response.json();
        
        if (result.pago) {
            clearInterval(interval);
            window.location.href = '/sucesso';
        }
    }, 3000); // 3 segundos
    
    // Timeout após 30 minutos
    setTimeout(() => clearInterval(interval), 30 * 60 * 1000);
}

3. Webhook Handler (PHP)

<?php
function processar_webhook_mercadopago(): void {
    $body_raw = file_get_contents('php://input');
    $headers  = getallheaders() ?: $_SERVER;
    
    // Validar HMAC
    if (!validar_webhook_hmac($body_raw, $headers)) {
        http_response_code(401);
        echo json_encode(['erro' => 'Assinatura inválida']);
        exit;
    }
    
    $dados = json_decode($body_raw, true);
    $tipo  = $dados['type'] ?? $dados['action'] ?? '';
    
    // Processar apenas eventos de pagamento
    if (!in_array($tipo, ['payment.created', 'payment.updated', 'payment'])) {
        http_response_code(200);
        echo json_encode(['ok' => true]);
        exit;
    }
    
    $payment_id = $dados['data']['id'] ?? '';
    if (empty($payment_id)) {
        http_response_code(200);
        echo json_encode(['ok' => true]);
        exit;
    }
    
    // Buscar transação
    $transacao = buscar_transacao($payment_id);
    if (!$transacao || $transacao['status'] === 'pago') {
        http_response_code(200);
        echo json_encode(['ok' => true]);
        exit;
    }
    
    // Verificar pagamento
    $gateway = new Gateway_MercadoPago();
    $resultado = $gateway->verificar_pagamento($payment_id);
    
    if ($resultado['pago']) {
        // Validação anti-fraude
        $valor_mp = round($resultado['dados']['transaction_amount'], 2);
        $valor_db = round($transacao['valor'], 2);
        
        if (abs($valor_mp - $valor_db) > 0.01) {
            log_fraude($payment_id, $valor_mp, $valor_db);
            http_response_code(200);
            echo json_encode(['ok' => true]);
            exit;
        }
        
        // Confirmar pagamento
        confirmar_pagamento($transacao['id']);
        enviar_email_confirmacao($transacao);
    }
    
    http_response_code(200);
    echo json_encode(['ok' => true]);
}

function validar_webhook_hmac(string $body_raw, array $headers): bool {
    $x_signature = $headers['x-signature'] ?? $headers['HTTP_X_SIGNATURE'] ?? '';
    if (empty($x_signature)) {
        return false;
    }
    
    $parts = [];
    foreach (explode(',', $x_signature) as $part) {
        [$key, $value] = explode('=', trim($part), 2);
        $parts[trim($key)] = trim($value);
    }
    
    $ts   = $parts['ts'] ?? '';
    $hash = $parts['v1'] ?? '';
    
    if (empty($ts) || empty($hash)) {
        return false;
    }
    
    $x_request_id = $headers['x-request-id'] ?? $headers['HTTP_X_REQUEST_ID'] ?? '';
    $body = json_decode($body_raw, true);
    $data_id = (string) ($body['data']['id'] ?? '');
    
    $manifest = "id:{$data_id};request-id:{$x_request_id};ts:{$ts};";
    $secret   = getenv('MP_WEBHOOK_SECRET');
    $computed = hash_hmac('sha256', $manifest, $secret);
    
    return hash_equals($computed, $hash);
}

✅ Checklist de Produção

Antes de Ir ao Ar

□ Access Token de PRODUÇÃO configurado (APP_USR-...)
□ Webhook Secret configurado
□ Webhook URL configurada no painel MP
□ HTTPS habilitado (TLS 1.2+)
□ Validação HMAC ativa
□ Cross-check de valor implementado
□ Rate limiting configurado
□ Teto máximo de valor definido
□ Logging sem dados sensíveis
□ Timeout de 15s configurado
□ Retry em erro 500 ativo
□ Idempotency-Key em todas as requisições
□ Double-submit guard no frontend
□ Polling de status com timeout
□ Email de confirmação funcionando
□ Banco de dados com prepared statements
□ Nenhum dado de cartão armazenado
□ Tokenização PCI-compliant
□ Testes em sandbox concluídos
□ Testes de webhook concluídos
□ Monitoramento de erros ativo

Testes Obrigatórios

□ PIX: Criar cobrança e pagar
□ PIX: Expiração após 30 minutos
□ PIX: Webhook de confirmação
□ Cartão: Tokenização bem-sucedida
□ Cartão: Pagamento aprovado
□ Cartão: Pagamento rejeitado
□ Cartão: Erro de validação
□ Webhook: Assinatura válida
□ Webhook: Assinatura inválida
□ Webhook: Valor divergente (fraude)
□ Webhook: Duplicação (idempotência)
□ Rate limiting: Bloqueio após limite
□ Double-submit: Bloqueio de clique duplo
□ Timeout: Requisição longa
□ Retry: Erro 500 com retry

📚 Referências

📝 Notas Finais

Esta implementação foi testada e validada em produção. Principais características:

  • Zero armazenamento de dados de cartão — PCI SAQ A compliant
  • Segurança robusta — HMAC, rate limiting, validação de valor
  • Anti-fraude — Cross-check, teto de valor, idempotência
  • Produção-ready — Retry, timeout, logging estruturado

Versão: 2.1.6
Última atualização: 2026-02-23
Autor: Dante Testa — https://dantetesta.com.br

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment