API PayPlug : paiements, IPN et refunds fiables

Le risque d'une intégration API PayPlug n'est pas de créer un paiement sur /v1/payments. Le risque commence quand le retour client, la notification IPN, le statut récupéré côté backend, le refund et l'écriture ERP ne racontent pas la même histoire au support.

PayPlug expose des objets REST simples pour payments, refunds, payment requests, installment plans et cartes enregistrées. Cette simplicité est un vrai atout pour les boutiques PME, mais elle peut masquer une difficulté de run: le SI doit savoir quand une commande est réellement payée, non payée, expirée, abortée, remboursée ou en attente Oney.

Le signal faible apparaît quand une équipe dit "PayPlug a payé", mais ne sait pas montrer payment_id, is_paid, paid_at, amount_refunded, la notification reçue, la dernière rellecture API et l'avoir généré. Le paiement existe, mais la preuve n'est pas encore exploitable par le métier.

Le bon arbitrage consiste à traiter PayPlug comme une chaîne de décisions, pas comme un bouton de paiement. Vous allez voir quoi stocker, quand relire, comment dédupliquer une IPN, quels états bloquent la livraison et comment éviter les refunds lancés sans preuve comptable.

Dawap traite ce sujet comme une intégration API reliée aux flux API paiement. Notre accompagnement intégrateur PayPlug aide à relier checkout, IPN, backend, ERP, support et finance avec une preuve de run exploitable.

Pour qui PayPlug devient critique

PayPlug devient critique pour les boutiques françaises, e-commerçants B2B, réseaux de points de vente, PME omnicanales, équipes qui utilisent des modules e-commerce et organisations qui doivent relier paiement, facture, avoir et support sans équipe paiement dédiée.

La priorité augmente dès que le paiement déclenche une expédition, une réservation, un accès, une facture, un acompte, un refund, une relance ou un rapprochement avec l'ERP. Un statut PSP devient alors une décision métier.

Le sujet est particulièrement sensible quand la boutique mélange page de paiement hébergée, Integrated Payments, payment requests, paiement en plusieurs fois Oney, refunds partiels et exports comptables. Chaque mode apporte sa propre temporalité.

Le bon signal de cadrage est simple: si une notification PayPlug peut modifier une commande, un avoir, une promesse client ou une clôture comptable, alors le connecteur doit être conçu comme une architecture de run, pas comme un connecteur module oublié.

1. Créer un paiement et conserver payment_id

Relier /v1/payments à la commande

L'API PayPlug permet de créer un paiement avec POST /v1/payments, puis de récupérer ce paiement avec GET /v1/payments/{payment_id}. Le connecteur doit relier cet identifiant à la commande interne avant toute promesse client.

Le payment_id devient la clé de reprise. Il sert à relire le statut, rapprocher une IPN, créer un refund, vérifier un paiement Oney, aborter un paiement non utilisé ou expliquer une tentative échouée.

La création doit stocker montant, devise, metadata, client, canal, boutique, panier, URL de retour, URL d'annulation, URL de notification et règle de validation métier. Un identifiant sans contexte ne suffit pas pendant un incident.

Le modèle doit aussi conserver le mode d'intégration: page hébergée, Integrated Payments, payment request, paiement en plusieurs fois ou parcours embarqué. Cette information explique pourquoi la preuve attendue n'arrive pas toujours au même moment.

Définir les décisions d'état

En réalité, le premier contrat n'est pas la requête API, mais la décision que l'entreprise accepte selon chaque état. Payé, failed, timeout, canceled, aborted, pending Oney ou refunded ne doivent pas produire les mêmes actions.

La grille d'état doit relier panier, disponibilité stock, mode de livraison, facture, acompte, relance, scoring interne et règle commerciale. Un statut PayPlug devient alors une instruction lisible pour l'exploitation, pas une valeur isolée.

Cette méthode évite qu'un ancien lien payable, une tentative abandonnée ou un paiement revenu tardivement modifie une commande déjà remplacée. Elle donne une règle claire pour fermer, relancer ou isoler le dossier.

Utiliser metadata comme pont métier

PayPlug accepte des metadata sur les objets payment et refund. Ce champ doit être utilisé avec discipline pour relier client, commande, canal, motif support ou identifiant ERP sans exposer de donnée inutile.

Les metadata ne remplacent pas le modèle local. Elles facilitent le diagnostic côté PayPlug, mais l'ERP doit rester capable de reconstruire la chronologie même si le portail PSP n'est pas ouvert.

Un bon mapping conserve donc payment_id, metadata utiles, référence interne, tentative, montant, devise, état normalisé et owner de reprise. Cette structure évite de chercher une commande à partir d'un email ou d'une capture d'écran.

Les metadata doivent rester sobres. Référence de commande, segment, canal, motif ou customer_id suffisent souvent; les détails sensibles et les informations longues doivent rester dans le SI, avec un lien stable vers le dossier métier.

Ne pas confondre payment_url et preuve de paiement

Le lien de paiement hébergé ou la page sécurisée PayPlug sert au parcours shopper. Il ne prouve pas que la transaction est payée, capturée, expirée ou remboursée.

Le back-office doit donc afficher un état intermédiaire tant que le serveur n'a pas relu le paiement ou traité une notification fiable. Cette attente protège l'expédition, la facture et la réponse support.

Le signal faible se voit quand la présence d'une hosted_payment.payment_url est traitée comme une confirmation. Ce raccourci rassure l'écran, mais il crée une dette dès que le client abandonne, échoue ou paie après plusieurs tentatives.

2. Retour client, Integrated Payments et validation backend

Valider le paiement depuis le backend

Dans Integrated Payments, PayPlug recommande d'appeler l'API depuis le backend pour récupérer le statut de paiement, puis valider la commande. Le callback front ne doit pas déclencher seul l'effet métier.

Le front peut recevoir un token correspondant au payment_id après onCompleted. Le serveur doit ensuite relire la ressource, vérifier is_paid, paid_at, montant, devise et éventuel objet failure.

Cette séparation évite qu'une page de succès, un navigateur instable ou une double soumission fasse évoluer la commande sans preuve serveur. Le client voit un retour, mais le SI attend la confirmation exploitable.

Le bon écran support doit montrer la source de validation: retour client, rellecture backend, notification IPN ou reprise manuelle. Sans cette source, l'équipe ne sait pas pourquoi la commande a changé d'état.

Tracer la source de validation

Cette source doit être conservée dans le journal d'audit. Une commande validée par rellecture backend et une commande validée après IPN ne demandent pas les mêmes vérifications si le client conteste, si l'ERP échoue ou si un refund arrive plus tard.

Le journal doit aussi conserver l'auteur du changement: automatisme, notification, opérateur support, tâche de reprise ou script de rattrapage. Cette information réduit les débats quand plusieurs équipes interviennent sur le même panier.

Une validation manuelle doit rester possible, mais elle doit porter une justification, une pièce de preuve et une action interdite. Sinon, le traitement d'urgence devient une voie parallèle plus risquée que le flux automatisé.

Gérer les retours asynchrones

Un paiement peut être payé rapidement, échouer après plusieurs tentatives, expirer après délai ou rester en attente dans un parcours Oney. La commande ne doit pas réduire ces cas à un simple statut "paiement en cours".

Les états doivent guider la décision: préparer, attendre, relancer, abandonner, aborter, rembourser ou demander une vérification support. Chaque état a un coût différent pour la conversion et la logistique.

Contrairement à ce que l'on croit, la rapidité du checkout ne suffit pas à faire une bonne intégration. Le vrai gain vient de la capacité à expliquer les cas non payés sans bloquer toute la chaîne de commande.

Protéger les doubles soumissions

Un utilisateur peut cliquer deux fois, revenir en arrière, relancer un paiement ou ouvrir plusieurs onglets. Le SI doit relier les tentatives sans créer plusieurs commandes contradictoires.

La règle locale doit distinguer tentative active, paiement payé, paiement abandonné, paiement aborté et nouvelle tentative autorisée. Elle doit aussi bloquer une deuxième validation si un paiement a déjà produit l'effet métier attendu.

Cas concret: si plus de 2 % des commandes d'un canal possèdent deux payment_id actifs après 24 heures, alors il faut bloquer l'élargissement du parcours et corriger la logique de tentative avant d'ouvrir plus de trafic.

3. IPN, notification_url et rellecture API

Configurer notification_url dès la création

PayPlug envoie une notification si une notification_url est fournie à la création du paiement. Cette notification peut concerner un paiement paid, failed, refunded ou timeout, selon le cycle documenté.

L'URL de notification doit être stable, publique, surveillée et reliée au canal. Une boutique multi-site ne doit pas envoyer toutes les IPN vers un endpoint incapable de distinguer pays, devise, ERP ou owner de reprise.

Le dossier de recette doit donc inclure endpoint, environnement, méthode de traitement, payload attendu, statut attendu, réponse serveur, rellecture API et écriture métier déclenchée.

Cas concret: si plus de 2 % des IPN d'un canal prioritaire restent sans rellecture PayPlug avant clôture, alors il faut bloquer l'élargissement. Ce seuil protège commande, facture, avoir et décision support.

Traiter l'IPN comme un signal, puis relire

Une IPN PayPlug peut contenir un objet payment ou refund. Pour des raisons de sécurité et de robustesse, le serveur doit traiter la notification puis récupérer la ressource PayPlug correspondante avant d'appliquer une décision métier sensible.

Cette rellecture protège contre les payloads incomplets, les notifications rejouées et les états vus trop tôt. Elle permet aussi de vérifier le montant, la devise, le paiement payé, l'objet failure et le refund rattaché.

Le connecteur doit enregistrer réception IPN, payment_id, refund_id éventuel, objet, horodatage, résultat de rellecture, décision appliquée et prochaine action. Cette trace transforme une notification en preuve de run.

Dédupliquer les notifications

Une notification peut être reçue deux fois, traitée après une relance ou arriver pendant qu'un opérateur consulte déjà le dossier. La déduplication doit empêcher deux emails, deux factures, deux avoirs ou deux changements de statut.

La clé locale peut combiner payment_id, objet, refund_id, état relu, montant et décision déjà appliquée. Si l'effet métier existe, la nouvelle IPN devient une trace, pas une nouvelle action.

Cette visibilité est essentielle au support. Un événement ignoré doit être lisible comme déjà traité, sinon l'équipe pense à une perte de notification et déclenche une reprise dangereuse.

4. Paid, failed, timeout, aborted et Oney pending

Lire is_paid avec le reste de l'objet

Le champ is_paid est central, mais il ne suffit pas seul. Le connecteur doit aussi lire amount, amount_refunded, hosted_payment.paid_at, failure, installment_plan_id, payment_method et metadata.

Un paiement payé déclenche souvent livraison, facture ou accès. Un paiement failed appelle une relance ou un nouveau moyen de paiement. Un timeout indique un abandon, et un paiement aborted signifie que l'entreprise a fermé l'utilisation de la transaction.

Le mapping doit conserver le statut brut et le statut métier. "Non payé" peut cacher canceled, aborted, timeout, tentative failed ou Oney pending, et ces cas ne demandent pas la même réponse.

Cas concret: si plus de 3 % des paiements non payés n'ont pas de cause normalisée après 24 heures, alors il faut différer les relances automatiques. Ce seuil évite de solliciter des clients qui sont déjà en attente ou en échec documenté.

Gérer le délai des notifications

PayPlug documente que certaines notifications arrivent rapidement, tandis que des échecs ou timeouts peuvent arriver après 15 minutes. Oney peut aussi rester pending de quelques minutes à quelques jours selon l'examen du dossier.

Le SI doit donc séparer attente courte, attente longue et abandon. Une commande Oney pending ne doit pas être annulée comme un panier abandonné classique, car l'acceptation peut arriver plus tard via notification.

L'équipe doit aussi décider ce qu'elle dit au client pendant l'attente. Un message de validation en cours protège mieux la relation qu'une confirmation ferme qui devra être annulée si Oney refuse finalement le dossier.

Cas concret: si plus de 5 commandes Oney restent sans owner après un jour ouvré, alors il faut bloquer l'ouverture de nouveaux canaux Oney et clarifier le routage support avant d'augmenter le volume.

Afficher la prochaine action autorisée

Un bon back-office ne montre pas seulement le statut. Il indique si l'équipe peut préparer, attendre, aborter, relancer, rembourser, isoler le dossier ou demander une validation finance.

Cette traduction protège les opérateurs. Un paiement failed ne doit pas proposer refund, un paiement déjà entièrement remboursé ne doit pas proposer un nouveau remboursement, et un paiement Oney pending ne doit pas partir en livraison.

Le coût caché vient des mauvais boutons. Une action support trop rapide peut créer un avoir inutile, une promesse client impossible à tenir ou un écart de rapprochement que la finance découvrira trop tard.

5. Refunds, amount_refunded et avoirs ERP

Créer un refund avec preuve d'avoir

PayPlug permet de créer un refund avec POST /v1/payments/{payment_id}/refunds, puis de récupérer un refund ou la liste des refunds d'un paiement. Le remboursement peut être total ou partiel.

Le refund doit être relié à un avoir, un motif support, une commande, un montant, une devise, un payment_id, un refund_id et une écriture ERP. Sans ce lien, le paiement est corrigé côté PSP mais pas forcément côté finance.

Le connecteur doit bloquer un refund sur une promesse floue. Si l'avoir n'existe pas, si le montant ne correspond pas ou si le premier refund est encore en cours, l'action doit passer en reprise plutôt qu'être relancée.

Le motif doit aussi être structuré. Retard livraison, produit indisponible, retour client, geste commercial ou erreur de prix ne produisent pas la même analyse de marge ni la même priorité de correction côté commerce.

Surveiller amount_refunded

L'objet payment expose amount_refunded. Ce champ doit être comparé au total des refunds, au montant initial, à l'avoir ERP et à la promesse client.

Lorsque le paiement est entièrement remboursé, PayPlug renvoie une erreur si l'on tente de le rembourser encore. Le back-office doit prévenir cette erreur en amont plutôt que laisser un opérateur la découvrir.

Cas concret: si plus de 1 % des refunds d'une semaine ne correspondent pas à un avoir ERP dans la journée, alors il faut différer les nouveaux parcours de remboursement automatique. Le seuil prouve que la finance n'a pas assez de maîtrise.

Exemple concret: si 3 remboursements partiels sur 50 exigent encore une correction manuelle de TVA, de remise ou de frais de port, alors il faut bloquer le self-service refund. Ce seuil protège le lettrage comptable et évite qu'un geste support devienne une anomalie fiscale.

Traiter la notification refund

PayPlug envoie une notification quand un refund réussit si la notification_url du paiement existe. La même URL sert aux notifications du paiement et des refunds associés.

Le SI doit donc router correctement les objets payment et refund. Une notification refund ne doit pas être traitée comme une nouvelle validation de paiement, ni comme une simple information support sans impact comptable.

Le journal local doit conserver refund_id, payment_id, montant, devise, metadata, état relu, avoir, date de notification et décision appliquée. Cette trace évite les remboursements en double et les avoirs oubliés.

6. Capture, abort et payment requests

Aborter un paiement non utilisé

PayPlug permet d'aborter un paiement créé avec PATCH /v1/payments/{payment_id} et aborted: true. Cette action rend la page de paiement indisponible pour éviter une utilisation tardive.

L'abort devient utile quand une commande est annulée, remplacée, expirée ou relancée avec une nouvelle tentative. Il évite qu'un ancien lien de paiement devienne encore payable alors que l'ERP a changé d'état.

La décision doit être tracée. Abort demandé, payment relu, failure aborted, commande fermée et nouvelle tentative éventuelle doivent rester visibles dans le même dossier.

Capturer quand le métier le demande

La documentation API PayPlug liste la capture de paiement via PATCH /v1/payments/{payment_id}. Le connecteur ne doit l'activer que si l'offre, le parcours et la règle métier le justifient.

Une capture n'est pas une étape neutre. Elle doit être liée à stock confirmé, prestation rendue, commande préparée, réservation validée ou décision support claire.

Le runbook doit expliquer ce qui se passe en cas de capture impossible, payment déjà failed, payment déjà paid ou tentative non retrouvée. Sans cette règle, l'équipe confond incident API et décision finance.

Cette règle doit rester visible dans les droits. Tout le monde ne doit pas pouvoir capturer ou aborter depuis le back-office; les permissions doivent suivre le risque financier, le canal et le niveau de validation requis.

Cadrer payment requests et échéanciers

Les payment requests PayPlug sont compatibles avec plusieurs fonctions comme retrieve, update, capture, abort, refund, notifications, installment plans et sauvegarde de carte selon la documentation de compatibilité.

Cette puissance demande un mapping clair. Un lien envoyé par email, une demande de paiement B2B, un acompte et une relance client ne doivent pas se perdre dans le même statut générique.

Le SI doit afficher canal d'envoi, date d'expiration, montant, statut relu, notification reçue, tentative de paiement et prochaine action. Sinon, la simplicité commerciale du payment request crée une dette de support.

Les demandes de paiement doivent être rapprochées comme des commandes. Une relance B2B, un acompte ou un solde après livraison doit laisser une trace qui explique qui a envoyé la demande, qui l'a payée et quelle facture elle solde.

7. Erreurs fréquentes autour de PayPlug

Valider sur le retour navigateur

La première erreur consiste à valider la commande quand le navigateur revient sur la boutique. Le retour est utile pour l'expérience, mais il ne remplace ni l'IPN ni la rellecture backend.

Le bon réflexe consiste à afficher un état de confirmation contrôlée, puis à faire évoluer la commande quand le serveur a récupéré la ressource PayPlug et confirmé le statut attendu.

Cette nuance évite des expéditions trop rapides. Une page de succès sans preuve serveur peut masquer un paiement failed, timeout, Oney pending ou une tentative qui n'a jamais été finalisée.

Ignorer notification_url

Une intégration qui ne configure pas notification_url perd un canal majeur de synchronisation. La boutique dépend alors d'une rellecture ponctuelle ou d'une action utilisateur pour découvrir les changements de statut.

L'IPN doit être traitée comme une entrée de run, avec endpoint surveillé, rellecture API, déduplication, journalisation et alerte si aucun événement n'arrive sur un canal prioritaire.

Le risque est de croire que la simplicité PayPlug autorise un flux sans observabilité. En réalité, plus l'équipe est petite, plus elle a besoin de preuves visibles pour éviter les corrections manuelles.

Rembourser sans relire amount_refunded

Un refund partiel lancé sans relire amount_refunded peut créer une promesse incohérente. Le support croit corriger la commande, mais le montant déjà remboursé ou le refund en cours change la décision.

La reprise doit relire le payment, lister les refunds, comparer les montants et vérifier l'avoir ERP avant d'autoriser une nouvelle action. Cette étape protège contre les doublons et les gestes commerciaux mal rapprochés.

Sans ce contrôle, l'entreprise transforme une demande client légitime en écart finance. Le coût n'apparaît pas dans l'appel API, mais dans la clôture, les tickets support et les corrections comptables.

8. Plan d'action avant go-live PayPlug

Cadrer les objets et les décisions

La première étape consiste à lister les objets connectés: payment_id, payment request, installment plan, refund_id, metadata, hosted_payment, notification_url, failure, amount_refunded, facture, avoir et écriture ERP.

La deuxième étape consiste à écrire les décisions dépendantes: confirmer une commande, relancer un client, aborter un paiement, capturer, rembourser, isoler un dossier, rapprocher le cash ou bloquer une action support.

La troisième étape consiste à associer owner, délai, preuve et prochaine action à chaque état. Un paiement non payé sans action autorisée devient vite une file invisible de commandes bloquées.

Cette matrice doit être validée avec les équipes qui utiliseront vraiment le flux. Le développement connaît les endpoints, mais le support connaît les questions client et la finance connaît le coût des avoirs non rapprochés.

Nommer les refus de go-live

La matrice doit aussi dire ce que l'on refuse. Valider sans IPN, rembourser sans avoir, laisser deux payment_id actifs ou ouvrir Oney sans owner sont des décisions à bloquer explicitement, pas des exceptions à gérer au fil de l'eau.

Ces refus doivent être visibles dans la recette et dans le backlog de correction. Une règle non tenue ne doit pas disparaître derrière un feu vert projet, surtout quand elle touche l'encaissement ou le remboursement.

Le sponsor métier gagne alors un vrai outil d'arbitrage. Il peut choisir d'ouvrir un canal limité, de différer Oney, de désactiver les refunds self-service ou de garder la validation manuelle sur un segment à risque.

Installer les garde-fous techniques

Les garde-fous couvrent secret key, version API, notification_url, endpoint IPN, rellecture backend, queue, déduplication, retry, idempotence locale, logs corrélés, droits support et journalisation des décisions.

Les environnements doivent être séparés. Clés de test, clés live, URL de notification, boutique, ERP et règles de validation ne doivent pas se mélanger pendant la recette.

Le monitoring doit distinguer panne de notification, délai normal, timeout, failure, Oney pending et erreur ERP aval. Une alerte unique "paiement KO" ne suffit pas pour décider quoi suspendre et quoi laisser fonctionner.

Le runbook doit expliquer comment suspendre les validations de commande, aborter des liens, isoler les refunds, continuer à recevoir les IPN ou revenir à un mapping précédent sans couper tous les paiements.

Préparer une bascule mesurable

Le lancement doit commencer sur un périmètre court: un canal, une devise, un parcours de paiement, une famille de refunds et éventuellement un flux Oney clairement identifié.

Les premiers indicateurs doivent être visibles dès le go-live: paiements créés, payments relus, IPN reçues, timeouts, payments aborted, refunds réussis, Oney pending et commandes sans prochaine action.

Cas concret: si sur un pilote de 7 jours moins de 95 % des commandes payées affichent payment_id, is_paid, paid_at, IPN traitée et prochaine action avant clôture, alors il faut bloquer l'élargissement. Ce seuil protège client, facture et support.

Le critère de sortie doit rester opérationnel: aucune commande expédiée sans preuve backend, aucun refund sans avoir, aucune IPN ignorée sans trace et aucun Oney pending sans owner. Si l'un de ces points manque, la bascule reste en mode contrôlé.

• D'abord, à valider: payment_id stocké, notification_url configurée, rellecture backend testée, refund_id rapproché et Oney pending routé.
• Ensuite, à bloquer: validation sur retour navigateur seul, refund sans avoir, payment_url traité comme preuve et payment_id non relié à l'ERP.
• Puis, à corriger: metadata absentes, amount_refunded invisible, failure non exposé, endpoint IPN non surveillé et support sans statut normalisé.
• Enfin, à différer: nouveaux canaux, payment requests automatisées, Oney à grande échelle ou refunds self-service tant que les exceptions ne sont pas maîtrisées.

9. Scénario terrain et recette PayPlug

La commande semble payée, l'IPN manque

Imaginons une boutique qui utilise PayPlug en paiement hébergé. Le client revient sur la page de succès, la commande passe en préparation, mais l'IPN n'est pas reçue ou la rellecture backend n'a pas encore confirmé is_paid.

Le symptôme paraît mineur. Le support voit une commande récente, la logistique prépare le colis, mais l'ERP ne sait pas si la facture peut être générée et la finance ne retrouve pas encore la preuve de paiement.

Le problème peut venir d'une notification_url absente, d'un endpoint IPN en erreur, d'un payment_id mal stocké, d'un paiement timeout ou d'une validation déclenchée sur le retour navigateur.

La correction commence par la chronologie

La première correction consiste à reconstruire le fil: création du payment, payment_url, retour client, IPN reçue, rellecture PayPlug, is_paid, paid_at, failure, écriture ERP et notification client.

La deuxième correction consiste à isoler les commandes sans preuve backend. Elles ne doivent pas être expédiées automatiquement; elles passent dans une file de reprise avec rellecture du payment_id et owner identifié.

La troisième correction consiste à rendre la preuve visible. Le support doit voir payment_id, statut normalisé, IPN, dernière rellecture, amount_refunded, refund_id éventuel et prochaine action autorisée.

La reprise doit ensuite être bornée. Une commande isolée passe par rellecture API, décision d'expédition ou de blocage, puis annotation de la cause pour éviter que le même incident revienne après le prochain déploiement.

Tester les cas qui coûtent vraiment

La recette doit couvrir payment paid, failed, timeout, canceled, aborted, refund total, refund partiel, notification payment, notification refund, Integrated Payments, payment request et Oney pending.

Chaque scénario doit préciser l'état attendu dans checkout, ERP, OMS, support et finance. Le test est réussi quand ces systèmes racontent la même décision, même si le détail brut vient de PayPlug.

Les preuves attendues doivent être conservées pendant la recette: payload utile, payment_id, refund_id, IPN, rellecture, failure, amount_refunded, owner de reprise, écriture métier et action interdite.

Fixer des seuils de sortie

Cas concret: si pendant 2 jours des commandes validées client restent sans IPN traitée ni statut ERP final, alors l'élargissement doit être bloqué, car client, support, logistique et finance sont exposés.

Exemple concret: si plus de 5 refunds par semaine sont promis sans avoir corrélé et sans amount_refunded relu, alors les nouveaux parcours de remboursement doivent être différés jusqu'à correction du run.

Le troisième seuil porte sur le délai d'explication. Si une personne support met plus de 10 minutes à retrouver payment_id, statut, dernière IPN et prochaine action, alors l'intégration manque encore de preuves visibles.

Cas concret: si moins de 98 % des paiements payés d'une journée possèdent IPN traitée, rellecture backend et écriture ERP avant la clôture, alors il faut bloquer le passage au volume supérieur. Ce seuil oblige à corriger la chaîne complète, pas seulement l'écran checkout.

Questions fréquentes sur PayPlug

Pourquoi vérifier un paiement PayPlug côté backend? Parce que le retour client ne suffit pas à prouver la décision financière. Le serveur doit relire le payment_id, vérifier is_paid, montant, paid_at, failure et notifications avant de valider la commande.

Comment traiter les notifications IPN PayPlug? Il faut recevoir l'objet payment ou refund, relire la ressource via l'API PayPlug, dédupliquer, journaliser et appliquer seulement l'action métier cohérente avec l'état courant.

Dawap peut-il accompagner une intégration API PayPlug? Oui. Dawap accompagne payments, refunds, IPN, Integrated Payments, payment requests, Oney, mappings ERP, reprise, recette et observabilité de production.

Guides complémentaires pour PayPlug

Une intégration PayPlug touche rarement le paiement seulement. Les repères ci-après prolongent la chaîne de décision, la protection contre les doublons, la réception d'événements et le rapprochement entre systèmes.

Architecture paiement de bout en bout

La lecture paiement API replace PayPlug dans une chaîne complète: checkout, rellecture backend, notification, refund, Oney, écriture finance et preuve opérationnelle entre les équipes qui valident la commande.

Elle aide à décider ce qui appartient au front, au PSP, au middleware, à l'ERP ou à la comptabilité. Cette frontière évite les corrections tardives quand un retour navigateur ne correspond pas encore à une preuve serveur.

Elle donne aussi une grille pour relire les exceptions: IPN absente, timeout, Oney pending, refund partiel ou écart entre amount_refunded et avoir ERP, avec une décision de reprise explicite pour chaque situation.

Protection contre les doubles traitements

Le dossier idempotence API et doublons métier donne le cadre nécessaire pour éviter les commandes validées deux fois, les refunds répétés, les IPN rejouées et les écritures ERP appliquées deux fois.

Il devient prioritaire dès qu'un timeout peut masquer une opération réussie, qu'un opérateur peut relancer une action ou qu'une notification PayPlug peut revenir après une correction support.

Il donne enfin une méthode pour relier clé métier, journalisation, queue, retry, rollback et preuve support. Cette méthode s'applique directement aux flux PayPlug les plus sensibles.

Webhooks et lectures contrôlées

Le dossier webhook ou polling API permet de choisir une stratégie fiable pour les notifications PayPlug, les relances, les lectures contrôlées et les reprises.

Il aide à décider quand accepter une IPN, quand la mettre en quarantaine et quand compléter par une rellecture du payment_id. Cette décision devient centrale lorsque les statuts financiers sont asynchrones.

Il évite aussi de confondre temps réel et vérité métier. Un événement rapide peut être insuffisant si la chronologie, la clé de corrélation et l'état courant ne sont pas vérifiés avant écriture.

Réconciliation entre PayPlug et l'ERP

Le dossier réconciliation API prolonge les questions d'écart entre PayPlug, e-commerce, ERP et comptabilité, surtout lorsque refunds, payment requests, Oney et exports financiers entrent dans le périmètre.

Il devient utile quand le volume empêche de traiter les écarts à la main. La méthode consiste à rapprocher identifiants, montants, dates, statuts, devises et décisions avant d'ouvrir un incident.

Cette approche convient aux équipes qui veulent passer de la correction manuelle au pilotage. L'écart devient un objet de run avec cause, owner, seuil et prochaine action.

Cas concret: si plus de 2 % des lignes PayPlug d'un export quotidien ne trouvent pas de facture, d'avoir ou de commande associée avant clôture, alors il faut bloquer l'ouverture d'un nouveau canal. Le seuil montre que le modèle de rapprochement manque encore de fiabilité.

Runbook quand PayPlug bloque un flux support

Le dossier runbook d'incident API complète ce parcours quand un payment, une IPN, un refund, un paiement Oney ou un export PayPlug bloque le support ou la clôture finance.

Il aide à transformer les seuils de réconciliation en décisions concrètes: geler un canal, isoler un lot, relire les payment_id, escalader côté finance ou reprendre uniquement les lignes concernées. Cette logique évite que PayPlug devienne un sujet de correction manuelle diffuse.

Conclusion: intégrer PayPlug sans dette support

Une intégration API PayPlug réussie ne se mesure pas au premier paiement créé. Elle se mesure à la capacité d'expliquer un payment, une IPN, un timeout, un refund, un Oney pending ou un abort sans refaire toute la chaîne à la main.

Le bon ordre reste stable: stocker payment_id, configurer notification_url, relire côté backend, normaliser les états, protéger les refunds, traiter amount_refunded et donner au support une preuve visible. La même discipline couvre panier, TVA, frais, commission, bordereau, lettrage, échéancier, relance, transporteur, dépôt bancaire, rapprochement journalier, centre de coût, devise, segment, canal, habilitation, escalade, historisation, anomalies et tableau de pilotage. Elle clarifie aussi remise, coupon, acompte, solde, reliquat, garantie, adresse, entrepôt, caisse, abonnement, mandat, justificatif et période fiscale. Elle éclaire enfin litige, compensation, échéance, mode de retrait, colis fractionné, bon de retour, devise secondaire, centre analytique, piste d'audit, gouvernance, conformité et supervision applicative. Elle aligne catalogue, SKU, dépôt, point relais, devis, pro forma, balance âgée, rapprochement bancaire, remises promotionnelles, panier abandonné, relance commerciale, note de crédit, caisse magasin, rapprochement omnicanal, export fiscal, provision, escompte, créance, encours, ventilation et revue de marge.

Cette discipline ne ralentit pas le projet. Elle évite que PayPlug devienne une boîte noire simple en apparence, réduit les doubles gestes, protège la marge et rend l'ouverture de nouveaux parcours beaucoup plus maîtrisable.

Si vous devez connecter PayPlug à un ERP, un OMS, une boutique, une marketplace ou un outil support avec une preuve de run solide, notre accompagnement en intégration API peut cadrer l'architecture, les mappings, les reprises et l'observabilité sans déplacer la dette vers le support ou la finance.