A CertIA ainda não oferece uma API pública self-service com credenciais emitidas sob demanda. Nesta etapa, a documentação abaixo existe para dar transparência ao comportamento atual da plataforma e aos limites do que pode ou não ser integrado.
Endpoints públicos suportados hoje
- `GET /api/products` — catálogo público usado por landing, marketplace e checkout.
- `POST /api/checkout` — cria pedido e cobrança do fluxo B2C/B2B assistido.
- `GET /api/orders/[id]` — projeção mínima de status para polling do checkout.
Endpoints internos ou protegidos
- Rotas administrativas e de parceiro exigem autenticação e autorização.
- `POST /api/payments/webhook` aceita apenas notificações autenticadas do Asaas.
- Fluxos BRy e cofre digital não são API pública self-service neste sprint.
Autenticação e segurança
Endpoints administrativos e de parceiro exigem sessão autenticada. Endpoints sensíveis de pagamento e emissão são protegidos por autenticação própria e não devem ser tratados como API pública.
Próximos passos
Uma API pública formal, com credenciais, versionamento, webhooks e limites operacionais, está fora do escopo deste sprint.