Login

Como Integrar API OTC para Empresas e Fundos em 2026

Integrar a API OTC de uma corretora cripto é um projeto técnico padrão para empresas e fundos com fluxo recorrente. Este guia mostra os passos práticos da integração — da solicitação de credenciais até a primeira operação em produção — com exemplos de fluxo, considerações de arquitetura e checklist de boas práticas.

Resumo rápido: A integração padrão de API OTC envolve KYC empresarial, credenciais HMAC, sandbox para testes, implementação de RFQ → accept → settlement → reconciliação, e webhooks para notificações. Tempo típico: 1-3 semanas para uma integração básica.

Solicitar credenciais API OTC →

Passo 1 — KYC empresarial e onboarding

Antes de qualquer linha de código, sua empresa precisa estar habilitada na mesa. Documentação típica:

  • Cartão CNPJ ativo
  • Contrato social com últimas alterações
  • Documentos dos sócios e administradores
  • Comprovante de endereço empresarial
  • Procurações se aplicável
  • Compliance/AML questionnaire

Aprovação: 24-72h em mesa estabelecida. Após aprovado, você recebe acesso à área institucional.

Passo 2 — Solicitar credenciais API

No painel institucional, gere:

  • API Key: identificador público da sua aplicação
  • API Secret: chave privada para assinar requisições (NUNCA exponha)
  • Whitelist de IPs: defina quais IPs podem usar essa API key
  • Permissões: read-only, trading, withdrawal — limite ao mínimo necessário

Boa prática: gere credenciais separadas para sandbox e produção, e nunca use a mesma key em ambientes diferentes.

Etapa Tempo Esforço técnico
KYC + onboarding 1-3 dias Operacional
Credenciais API Imediato Operacional
Auth HMAC 1-2 dias Júnior
Fluxo RFQ + accept 2-5 dias Júnior/Pleno
Webhooks + reconciliação 3-7 dias Pleno
Testes sandbox 2-5 dias QA + dev
Produção (volumes pequenos) Imediato Monitoramento

Passo 3 — Implementar autenticação HMAC

O padrão da indústria é HMAC-SHA256. Cada requisição inclui headers:

  • X-API-Key: sua API key
  • X-Timestamp: timestamp Unix em ms
  • X-Signature: HMAC-SHA256 de (timestamp + method + path + body) usando o secret

O servidor valida que a assinatura corresponde, que o timestamp está dentro de uma janela de tolerância (5-30 segundos), e que o IP está na whitelist.

Passo 4 — Implementar fluxo RFQ → Accept

Fluxo de uma operação:

  1. Solicitar cotação:
    POST /quotes com body: {asset: "USDT", side: "buy", amount_brl: 500000, network: "TRX"}
  2. Receber resposta:
    {quote_id: "abc123", price: 5.03, total_usdt: 99403.57, expires_at: "2026-05-02T12:00:30Z"}
  3. Aceitar dentro da validade:
    POST /quotes/abc123/accept
  4. Receber instruções de settlement:
    {trade_id: "xyz789", pix_key: "...", amount: 500000, deadline: "2026-05-02T12:30:00Z"}
  5. Fazer PIX
  6. Webhook confirma quando USDT é enviado

Acessar a mesa OTC BitcoinP2P →

Passo 5 — Webhooks e reconciliação

Configure URL pública para receber webhooks de:

  • trade.executed — operação confirmada
  • trade.settled — settlement completo
  • trade.failed — operação falhou (PIX não chegou, etc.)

Cada webhook é assinado com HMAC. Sua aplicação valida a assinatura antes de processar.

A reconciliação então é:

  1. Webhook chega → atualiza estado interno
  2. Concilia com extrato bancário (PIX out)
  3. Concilia com hash da transação on-chain (USDT received)
  4. Atualiza ERP / contabilidade

Integração API OTC — 2026

1-3 sem

Tempo total típico

HMAC

Autenticação padrão

Sandbox

Obrigatório antes de prod

Passo 6 — Sandbox antes de produção

Toda mesa profissional oferece ambiente sandbox com USDT/BRL fictícios. Use intensivamente:

  • Teste todos os endpoints
  • Simule erros (cotação expirada, PIX não enviado, rede errada)
  • Valide reconciliação com webhooks de teste
  • Teste limites e edge cases

Só vá para produção após bater 100% dos cenários no sandbox.

“A integração técnica é só metade do trabalho. A outra metade é reconciliação contábil e fluxo operacional. Quem subestima isso fica com bug em produção que custa caro.”

— Engenheiro de fintech

Passo 7 — Boas práticas de operação

  • Comece com volumes pequenos em produção
  • Aumente gradualmente conforme estabilidade comprovada
  • Implemente alertas (Slack, e-mail) para erros
  • Mantenha logs estruturados (correlation IDs)
  • Rotacione API secrets a cada 90 dias
  • Tenha plano de rollback para falhas catastróficas

Perguntas Frequentes

Quanto tempo demora integrar API OTC?

Para uma integração básica (RFQ → accept → settlement → webhooks): 1-3 semanas com uma equipe técnica júnior/pleno. Mais avançado: 4-8 semanas.

Preciso de KYC para usar API OTC?

Sim. KYC empresarial é obrigatório antes da emissão de credenciais API. Tipicamente envolve CNPJ, contrato social, documentos dos sócios e comprovantes.

API OTC tem ambiente sandbox?

Sim. Mesas profissionais oferecem sandbox com USDT/BRL fictícios para testes completos antes da produção. Use intensivamente.

Como autenticar requisições à API OTC?

O padrão da indústria é HMAC-SHA256. Cada requisição inclui API key, timestamp e assinatura HMAC dos parâmetros. O servidor valida assinatura, timestamp e IP whitelist.

Posso integrar API OTC em qualquer linguagem?

Sim. APIs REST/HTTP funcionam em qualquer linguagem. Bibliotecas oficiais costumam estar disponíveis em Python, Node.js, Go e Java; outras linguagens implementam HMAC manualmente.

Criar conta institucional para integração →

Leia também: O que é API OTC e como integrar

Mais lidas no Blog

Ver todos os artigos →

📈 Receba novidades sobre o criptomercado

Digite seu email e receba análises exclusivas, alertas de preços e insights do mercado Bitcoin

📧 Confirmar código do email

Digite o código de 6 dígitos que enviamos para confirmar sua inscrição

⏱️ Código expira em: 02:00

✅ Inscrito com Sucesso!

Você receberá nossas novidades em breve

Negociar

Começar

Sobre Nós

Informações Legais

A maior casa de câmbio de criptomoedas do Brasil.

Bitcoin P2P Servicos Digitais LTDA – 31.600.396/0001-31 – Florianópolis/SC/Brasil

In Crypto We Trust. 2016-2026

Bitcoin, Solana, USDT e PIX.