Cartel CRM API

🔐

HMAC-подпись + Bearer

Каждый запрос подписан HMAC-SHA256 поверх raw body. Подменить нельзя — старый запрос проверкой timestamp отбрасывается (анти-replay window ±300 секунд).

🔁

Idempotency-Key

Сетевые ретраи не приводят к дубликатам — при повторном `Idempotency-Key` мы вернём исходный результат. Никакого «двойного списания лида».

🎯

Field mapping

Структура вашего payload — любая. Мы маппим ваши JSON-пути на канонические поля Cartel CRM. Не нужно ничего переписывать на вашей стороне.

📡

Callbacks о статусах

В реальном времени присылаем статусы лида (accepted / rejected / FTD / RTD / status_changed). Подпись на нашей стороне — `callback_secret`, ваша задача — проверить её и вернуть `200`.

🛡️

Дедупликация

Лиды дедуплицируются по `phone` / `email` в пределах настраиваемого окна (по умолчанию 30 дней). Дубликат возвращает `409` без побочных эффектов.

⚡

Rate limits

`60 rpm` на запись лидов, `120 rpm` на проверку статусов. Если упёрлись — мы вернём `429` с `Retry-After`. Хочется больше — пишите менеджеру.

Быстрый чек-лист интеграции

Получите от менеджера три секрета: api_key, hmac_secret, callback_secret.

Отправьте тестовый лид на POST /v1/inbound/leads — он попадёт в очередь распределения.

Подпишитесь на callbacks — мы будем уведомлять вас о смене статуса и FTD.

Проверьте статус по GET /v1/inbound/leads/{externalId}/status — если что-то потерялось, не дёргайте менеджера.

Закрытая документация

Этот сайт — для партнёров. Не индексируется, не для публичного распространения. URL-ы и креды никогда не выкладывайте в публичные репозитории / pastebins / чаты.

Никаких денег в callback'ах

По договорённости — в исходящих webhook'ах никогда не передаются поля amount, currency, ftd_amount и т.п. Только статус. Если в payload пришли деньги — это нарушение протокола, напишите нам.