Changelog

Nouvelle page de documentation publique destinée aux nouveaux marchands : un guide de bout en bout pour tester l'intégration MonCash en mode Sandbox puis passer en live sans changement de code.

• Nouveau

  Nouveau Quickstart Sandbox (`/docs/sandbox`) — guide pas-à-pas qui emmène un nouveau marchand de la création de compte à son premier paiement live en moins de 30 minutes. Couvre la création de projet, les quatre clés (live + test, secrets one-time), les trois endpoints API, la simulation sandbox (3 boutons : success / fail / cancel), l'onglet Test sur `/transactions`, et la bascule en live (échange de deux variables d'environnement, aucun changement de code). Inclut tableau des erreurs courantes et FAQ.

• Amélioration

  Section Quickstart de `/docs` enrichie d'une callout en haut renvoyant vers `/docs/sandbox` pour les nouveaux marchands. Sandbox promu en première position dans la sidebar « Guides spécialisés ».

Lancement du support live chat (visiteurs et marchands ↔ IA Claude + opérateur humain), nouvelle console opérateur /admin/chat, gestion des rôles, et correctif d'une régression critique sur le chiffrement des secrets webhook.

• Nouveau

  Live chat style Tidio sur moncashconnect.com — bulle flottante sur chaque page, assistant IA (Claude Haiku 4.5 ancré sur la documentation via RAG Voyage AI), escalade explicite vers un humain via bouton « Parler à un humain », tripwires automatiques sur les sujets sensibles (fraude / litiges / problèmes Digicel), historique session-only pour les visiteurs anonymes.

• Nouveau

  Console opérateur `/admin/chat` — boîte de réception trois colonnes (liste / fil / méta), boutons Réclamer (mute l'IA) / Libérer / Marquer résolu, signaux IA inline (route, confiance, similarité de récupération RAG) pour chaque réponse assistant.

• Nouveau

  Gestion des rôles `/admin/roles` — recherche d'un utilisateur par email, octroi/révocation des rôles `admin` et `support`. Protection contre la suppression du dernier admin (verrou anti-lockout).

• Correctif

  Correctif critique : `webhook_secret_encrypted` était stocké comme JSON-de-Buffer (`{"type":"Buffer","data":[...]}`) au lieu de base64 du blob AES-256-GCM, à cause d'un cast TypeScript no-op (`as unknown as string`) sur un Buffer Node. Conséquence : le testeur de webhook et la livraison réelle (`bazik-webhook`) renvoyaient toujours « Authentication failed » et échouaient silencieusement. Migration appliquée : colonne convertie en `text`, secrets existants invalidés. Action requise : régénérer le secret webhook de chaque projet (Projets → Régénérer les clés) et mettre à jour `MCC_WEBHOOK_SECRET` côté récepteur.

• Sécurité

  Type marqué `EncryptedBlob` (string & brand) sur `crypto.server.ts` — le compilateur rejette désormais l'attribution d'un `Buffer` à un champ de type colonne chiffrée. La régression précédente devient impossible sans cast double explicite, conspicue en revue de code.

• Amélioration

  Auto-redirection sur expiration de session : `SessionExpiryWatcher` détecte les `SIGNED_OUT` silencieux (échec de refresh JWT) et redirige vers `/auth` avec un toast « Session expirée ». Plus de boucle d'erreurs opaques pendant des heures dans un onglet stagnant.

• Amélioration

  Rapport d'erreur enrichi sur le testeur de webhook — au lieu d'un toast vague « Erreur », affichage du nom, message, statut HTTP et JSON brut pour distinguer auth fail, déchiffrement KO, 401 récepteur, et erreurs réseau.

Mise à jour majeure de la documentation : ajout du guide partenaire Connect, du guide d'intégration IA (Lovable/Claude), nouveau wire-contract v5, et nettoyage de la documentation API existante.

• Nouveau

  Nouveau guide d'intégration IA (`/docs/ai-integration`) pour les utilisateurs Lovable, Claude et autres outils no-code. Inclut prompts prêts à copier, navigation sur le dashboard, et règles de sécurité pour ne JAMAIS exposer vos clés à l'IA.

• Nouveau

  Nouveau guide partenaire Connect (`/docs/partners`) — référence publique distillant le wire-contract pour les développeurs qui poussent des payouts via OAuth.

• Amélioration

  Wire-contract v5 (`docs/wire-contract-v5.md`) — documente la réalité opérationnelle Bazik (pas de status GET pour les payouts sortants), source de confirmation `admin_manual`, vocabulaire `failure_reason`, asymétrie d'idempotence entre `/pay-create` (409) et `external-payout-create` (200 + replay).

• Correctif

  Suppression de la section « Mode sandbox » de `/docs` (les clés `sk_test_…` et préfixes `test_success_…` n'existaient pas dans l'API).

• Sécurité

  Mise en garde explicite dans le guide Next.js SDK : lire le corps brut (`await req.text()`) avant toute désérialisation JSON pour préserver l'intégrité HMAC sur Edge runtime / middleware.

• Amélioration

  Codes d'erreur structurés (champ `code` machine-stable) ajoutés à la documentation aux côtés des codes HTTP : `invalid_request`, `insufficient_scope`, `partner_daily_cap_exceeded`, etc.

Refonte complète de l'expérience de transfert interne entre utilisateurs MonCashConnect — feed d'activité, recherche intelligente, vue de reçu imprimable, réactions emoji et résumés hebdomadaires.

• Nouveau

  Transfert HTG d'utilisateur à utilisateur (KYC-tiered, atomique). Limites par transfert / quotidien / par paire selon le niveau de vérification. RPC SECURITY DEFINER avec garde-fous anti-self-transfer et idempotence côté client.

• Nouveau

  Feed d'activité (`/transfer`) — filtres « Envoyés / Reçus », chips de fenêtre temporelle (7j / 30j / 60j / 365j), pagination, recherche par contrepartie. Export CSV (Tier 3).

• Nouveau

  Vue de reçu imprimable (`/transfer/$txId`) — header MonCashConnect, montant centré, section From → To avec avatars, breakdown, timeline, références compactes, boutons Imprimer / Partager (Web Share API) / Renvoyer.

• Amélioration

  Vue par contrepartie (`/transfer/with/$counterpartyId`) — résumé envoyé / reçu / net + nombre de transferts + liste chronologique.

• Amélioration

  Mises à jour temps réel : `notifications` et `transactions` ajoutés à la publication `supabase_realtime` (qui était vide). Les nouveaux transferts apparaissent instantanément sur le feed du destinataire.

• Nouveau

  Réactions emoji (Tier 3) — chaque partie peut stamper son côté du transfert (🎉 🙏 🤝 ❤️ 👍 🔥 😂 💯). Visible des deux côtés.

• Nouveau

  Notification hebdomadaire récap envoyée tous les lundis 09:00 UTC via pg_cron pour les utilisateurs avec activité de transfert. Idempotent par semaine ISO.

Phase B du pipeline EPR (External Payout Request) — réconciliation automatique des payouts bloqués, patch de sécurité contre les faux échecs Bazik, et gestion de la confirmation manuelle après livraison MonCash sans webhook.

• Nouveau

  Auto-submit Phase B : reconciler pg_cron qui détecte les EPR coincés à `agent_approved` et les soumet automatiquement à Bazik. Couvre le cas où le crontab applicatif n'a pas pris le relais.

• Sécurité

  Patch de sécurité poll : Bazik renvoie 404 sur le GET de statut pour les payouts sortants `online`. Le poller ne déclenche plus de faux « late failure » — il flagge `external_payout_stuck_confirmation` après une période de grâce et attend le webhook Bazik ou une confirmation manuelle.

• Correctif

  Source de confirmation `admin_manual` — les opérateurs MCC peuvent confirmer manuellement la livraison d'un payout après vérification indépendante (dashboard Bazik, confirmation destinataire) sans déclencher de remboursement.

• Correctif

  Réconciliation historique (admin/finance) : audit des entrées du ledger avec attribution de drift par utilisateur. Pipeline reset + compensating-entry conforme au principe « ne jamais éditer une entrée existante ».

• Sécurité

  Phase 1A/1B sécurité : enforcement de la preuve d'authentification sur les RPC sensibles, trail `security_events`, fermeture des trous rollback-survivants via http + edge function audit.

• Amélioration

  Auto-sweep toutes les 2 minutes des transactions `pending` bloquées pour limiter les retours UX dégradés.

Premier lancement public de MonCashConnect — la plateforme API indépendante pour intégrer les paiements MonCash en Haïti.

• Nouveau

  API REST v1 avec endpoints `POST /pay-create`, `GET /pay-status` et `GET /pay-balance`.

• Sécurité

  Authentification par clé secrète de projet (`sk_proj_…`) avec validation bcrypt côté serveur.

• Nouveau

  Webhooks signés HMAC-SHA256 (`X-MCC-Signature` + `X-MCC-Timestamp`) avec protection anti-replay de 5 minutes. Événements : `payment.completed` et `payment.failed`.

• SDK

  Python SDK `moncashconnect` (PyPI) — zéro dépendance, Python 3.9+. Inclut `MonCashClient`, `construct_event`, `verify_signature`.

• SDK

  Node.js SDK `@moncashconnect/sdk` (npm) — TypeScript natif, dual CJS/ESM, Node 18+.

• SDK

  PHP SDK `moncashconnect/php-sdk` (Packagist) — PSR-4, PHP 8.1+, zéro dépendance.

• Nouveau

  Plugin WordPress/WooCommerce — intégration native de la passerelle MonCash avec vérification de webhook sécurisée.

• Nouveau

  Tableau de bord marchand — statistiques de revenus, gestion des projets et clés API, historique des transactions.

• Nouveau

  Documentation complète avec exemples cURL, Python, Node.js et PHP pour chaque endpoint.