Infrastructure de paiement

Le paiement,
opéré pour vous.

ALTIS NOVA centralise toute votre intégration Stripe — API REST, page de paiement hébergée et webhooks signés — derrière un service unique et multi-tenant. Vos applications ne touchent jamais aux données carte.

Demander une démo → Voir l’API

Architecture pensée pour le périmètre PCI DSS SAQ A Secrets chiffrés au repos

payment-session

POST /v1/payment-sessions
{
"amount": 25000, "currency": "eur", "customer_ref": "user_8842", "reference": "cmd_2026_0517" }
→ 201 · session prête à embarquer
{
"session_id": "pss_R7x4n…", "iframe_url": "…/embed/pss_R7x4n…", "status": "open" }

01 — Le produit

Tout Stripe, exposé comme un service unique.

Paiements par carte

Encaissez un montant dynamique via une API claire. Carte nouvelle ou enregistrée, le service confirme et suit chaque PaymentIntent.

Cartes enregistrées

Les moyens de paiement sont vaultés chez Stripe. Listez, supprimez et réglez en un appel — sans jamais manipuler de PAN.

Page de paiement hébergée

Une iframe servie par ALTIS NOVA porte Stripe Elements. Thématisable par application, c’est le seul endroit où la carte est saisie.

3-D Secure / SCA

L’authentification forte est gérée de bout en bout, y compris le repli en challenge sur un paiement par carte enregistrée.

Remboursements

Remboursements totaux ou partiels par API, avec suivi du montant remboursé et événement relayé vers votre application.

Webhooks relayés

Les événements Stripe sont normalisés, signés en HMAC-SHA256, livrés avec relance exponentielle et rejouables depuis la console.

02 — Architecture

Un seul service détient la clé secrète.

Côté client

Vos applications

app1 · app2 · app3 — chacune un tenant. Aucun code Stripe, aucune donnée carte, une simple clé API.

→API REST

Cœur

ALTIS NOVA

Détient la clé secrète Stripe, la page hébergée, la file de webhooks et le moteur de réconciliation.

→SDK Stripe

Acquéreur

Stripe

PaymentIntents, SetupIntents et Elements. Les fonds et la conformité PCI restent du ressort de Stripe.

Retour : Stripe → ALTIS NOVA → votre application — événement normalisé, signé et rejoué jusqu’à acquittement.

03 — Sécurité & conformité

La carte ne touche jamais vos serveurs.

A·1

Périmètre PCI DSS SAQ A

Les champs carte sont rendus dans l’iframe de Stripe. La donnée va de l’iframe à Stripe directement — ni vos serveurs, ni les nôtres.

A·2

Aucune donnée carte stockée

PAN et CVV ne sont acceptés par aucun point d’entrée de l’API, par conception.

A·3

Secrets chiffrés au repos

Clés Stripe par tenant et secrets de signature des webhooks sont chiffrés en base.

A·4

Webhooks signés & horodatés

HMAC-SHA256 sur l’horodatage et le corps brut, fenêtre anti-rejeu, identifiant d’événement unique.

A·5

Authentification par jeton

Clés API stockées hachées en SHA-256, affichées une seule fois, rotables à tout moment.

A·6

Idempotence & limitation de débit

Chaque mutation est dédupliquée par clé d’idempotence ; quotas appliqués par tenant et par IP.

04 — Développeurs

Intégré en un après-midi.

API REST sous /v1, authentifiée par jeton porteur.
Client Laravel typé, prêt à brancher derrière votre contrat de paiement.
Vérificateur de signature de webhook fourni.
Console d’administration : tenants, paiements, livraisons.

# Ouvrir une session de paiement
curl https://api.altis-nova.com/v1/payment-sessions \
  -H "Authorization: Bearer sk_live_xxx" \
  -H "Idempotency-Key: 7c1e9f2a-4b8d-…" \
  -d amount=25000 \
  -d currency=eur \
  -d customer_ref=user_8842 \
  -d reference=cmd_2026_0517

# → { "iframe_url": "…", "status": "open" }
# Embarquez l’iframe : le résultat arrive
# par webhook signé, source de vérité.

Parlons-en

Prêt à confier vos paiements à ALTIS NOVA ?

Présentez-nous vos applications et vos volumes : nous vous ouvrons un environnement de test et vos premiers tenants.

Demander une démo →

Écrivez-nous contact@altis-nova.com +33 [À COMPLÉTER]

Siège social

200 rue de la Croix-Nivert
75015 Paris, France

Le paiement, opéré pour vous.