Checkout incrustado
El checkout de Seif es la pantalla donde el comprador ingresa su tarjeta. Los datos sensibles (PAN/CVV) viven dentro de campos seguros de VGS — nunca en tu sitio ni en el de Seif — de modo que tu integración se mantiene fuera del alcance PCI.
El flujo
Crea la sesión en tu servidor
Con tu clave secreta, llama a POST /v1/sessions y obtén el checkoutUrl.
Abre el checkout
Lleva al comprador a ese checkoutUrl. Dos opciones:
A) Redirección (lo más simple)
window.location.href = session.checkoutUrl;B) Incrustado en un iframe
<iframe
src="https://checkout.seif.pagosripei.com/checkout?session=cs_8sKd2pQ1Aa"
style="width:100%;max-width:480px;height:640px;border:0"
allow="payment"
></iframe>Para que tu dominio pueda incrustar el checkout, agrégalo a allowedOrigins en la
configuración de tu comercio.
El comprador paga
Ingresa su tarjeta y su documento. Seif procesa el cobro a través del banco.
Recibe el resultado
- Si configuraste
returnUrl, Seif redirige ahí al aprobarse. - Tu servidor recibe el webhook
charge.approved/charge.declined/charge.failed.
La clave publicable (pk_…) es la que usa el checkout. Es segura de exponer:
por sí sola no puede cobrar — solo opera sobre la sesión que tú creaste con tu
clave secreta.
Personalización
Colores, tipografía, logo y plantilla se configuran por comercio y se aplican automáticamente al checkout. Ver Apariencia del checkout.
Solo se admiten tokens de diseño validados — nunca CSS/HTML/JS arbitrario. Esto evita que un estilo malicioso pueda superponerse a los campos de tarjeta.
Seguridad del embebido
- Los orígenes autorizados a incrustar tu checkout se derivan por comercio de
allowedOrigins(CSPframe-ancestors+ CORS). Nunca es una lista global. - Los campos de tarjeta son iframes de VGS, anidados dentro del iframe de Seif: ni tu página ni la de Seif ven el PAN/CVV en claro.