HelloSafe

Plataforma para desarrolladores

La API para distribuir seguro de viaje en tu producto

Una API de conversión firmada, deep links con seguimiento y un postback S2S hacia tu stack. Conecta el seguro de viaje de HelloSafe en pocos días, sin convertirte en aseguradora.

Vías de integración

Cinco formas de conectar HelloSafe

Desde el enlace con seguimiento montado en una tarde hasta la API REST de presupuestos: elige tu nivel de integración. Misma cobertura, mismas comisiones.

En producción

Deep links con seguimiento

Un enlace con seguimiento por contenido o campaña, con Sub-ID. La forma más rápida de empezar, sin código.

  • Deep links por página y por oferta
  • Sub-ID por campaña, contenido o punto de venta
  • Cookie de atribución de 90 días, last-click
En producción

API de postback de conversión

Notifica a Atlas cuando una venta atribuida se confirma o cambia de estado. Petición firmada con HMAC, máquina de estados, idempotente.

  • Claves firmadas por llamador (HMAC-SHA256)
  • Estados pending, validated, cancelled
  • Importe nativo: la comisión se calcula en el servidor
En producción

Postback S2S hacia tu stack

Envía las conversiones donde ya trabajas: Impact, Partnerize, Awin, Voluum, RedTrack, Everflow o webhook a tu BI.

  • Conectores S2S estándar
  • Webhook hacia tu BI
  • Exportación CSV
Acceso anticipado

API REST de presupuestos y contratación

Consulta, compara y contrata pólizas por API. Endpoints REST y entorno sandbox, en beta privada.

  • Presupuestos en tiempo real de varias aseguradoras
  • Contratación y emisión por API
  • Documentación OpenAPI próximamente
Acceso anticipado

Servidor MCP para agentes de IA

Expón HelloSafe como herramientas tipadas que tu LLM puede llamar: buscar, comparar, contratar. En beta privada.

  • Herramientas tipadas para Claude, ChatGPT y agentes propios
  • Respuestas ancladas en datos reales
  • Checkout con agentes

La API de conversión, en la práctica

Del postback a la comisión, en una petición firmada

La API de conversión está en producción hoy mismo. Publicas una venta atribuida, Atlas la vincula al enlace, la convierte a EUR y calcula la comisión según tu tarifa.

  1. 01

    Consigue una clave

    Durante la fase de lanzamiento, las claves se conceden bajo petición. Recibes un key_id y un secreto de firma propios de tu integración.

  2. 02

    Firma la petición

    Calcula HMAC-SHA256 del secreto sobre timestamp.body y envía las cabeceras x-atlas-key-id, x-atlas-timestamp y x-atlas-signature. La ventana antirreplay es de 5 minutos.

  3. 03

    Publica la conversión

    Envía ref y externalOrderId, más el importe bruto en su divisa nativa y el estado. Atlas congela el tipo de cambio, calcula la comisión y devuelve el estado aplicado.

postback.js
import { createHmac } from "node:crypto";

const secret = process.env.ATLAS_SIGNING_SECRET;
const body = JSON.stringify({
  ref: "hs-acme-7f3k9",
  externalOrderId: "ORDER-5821",
  amount: 89.90,
  currency: "USD",
  status: "validated"
});

const ts = Math.floor(Date.now() / 1000).toString();
const signature = "v1=" + createHmac("sha256", secret)
  .update(`${ts}.${body}`)
  .digest("hex");

await fetch("https://atlas.hellosafe.com/api/postback/conversion", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
    "x-atlas-key-id": "pbk_live_a1b2c3",
    "x-atlas-timestamp": ts,
    "x-atlas-signature": signature
  },
  body
});
// → 200 { ok: true, action: "inserted", status: "validated" }

Postback firmado con HMAC-SHA256. Respuesta 200 con la acción y el estado aplicados.

Referencia del payload

El cuerpo de la petición

JSON. ref y externalOrderId son obligatorios; el resto es opcional. Cualquier comisión enviada se ignora: el registro de Atlas es la fuente de verdad.

Campo Tipo Obligatorio Descripción
ref string Identificador de atribución, con formato partnerCode-shortCode.
externalOrderId string Tu identificador de pedido. Sirve como clave de idempotencia en Atlas.
amount number No Importe bruto de la venta, en su divisa nativa.
currency string (3) No Código ISO 4217. Una divisa desconocida se guarda como needs_fx y se tarifica más tarde.
status enum No pending, validated o cancelled. Por defecto: pending.
subId string No Subidentificador de campaña o de contenido, para tu reporting.

Códigos de respuesta

Lo que devuelve la API

Códigos HTTP explícitos. Las transiciones prohibidas nunca se aplican en silencio.

Código Significado
200 Conversión registrada. action: inserted, updated, transitioned o unchanged.
400 Faltan campos, ref inválido, o ref que no corresponde al propietario del enlace.
401 Firma, clave o timestamp inválidos (ventana de 5 minutos).
404 No se encontró ningún enlace para ese ref.
409 Transición de estado prohibida: la máquina de estados la rechaza.
422 Importe por encima del límite de seguridad por conversión.

Autenticación y seguridad

Firmado, aislado, trazable

Cada llamador tiene su propia clave y su propio secreto. Nada se comparte, todo es revocable.

Claves por llamador

Un key_id y un secreto de firma distintos por integración. Revocación individual, sin afectar a otros llamadores.

Firma HMAC-SHA256

La firma cubre timestamp.body byte a byte. Cualquier alteración del cuerpo invalida la petición.

Protección antirreplay

Las peticiones cuyo timestamp supera los 5 minutos se rechazan. No se puede reutilizar una petición capturada.

Máquina de estados idempotente

pending pasa a validated o cancelled; validated solo pasa a cancelled; cancelled es terminal. Reenviar el mismo estado no tiene efecto.

Tarifas

Gratis integrar. Ganas cuando tus usuarios contratan.

Sin cuota de instalación, sin suscripción mensual, sin coste por llamada. HelloSafe cobra su parte a las aseguradoras; tus ingresos vienen solo de las comisiones.

$0

0 euros por integrar

Conseguir tu clave API, conectar tu integración y probarla en nuestro entorno no cuesta nada. Sin NDA, sin proceso de compra.

$0

0 euros por llamada

La API de conversión, los deep links y el postback S2S no tienen coste por llamada ni mínimo mensual. Escalas al ritmo de tus viajeros.

50%

50 % de las comisiones

Cobras la mitad de las comisiones de HelloSafe por cada contratación y cada renovación generadas por tu integración, pagadas cada mes.

Fiabilidad y soporte

Pensado para seguir en línea, con respuestas de personas

La API de conversión y los enlaces con seguimiento funcionan sobre la red edge de Cloudflare. Esto es en lo que puedes apoyarte en disponibilidad, recuperación y soporte.

99,9 %

Disponibilidad objetivo

Postbacks y enlaces con seguimiento funcionan sobre Cloudflare Workers con conmutación automática. Ninguna región única puede tumbar el servicio.

300+

Puntos de presencia

Las peticiones se sirven desde el punto de presencia de Cloudflare más cercano a tus usuarios; la comisión y el cambio se calculan después, de forma asíncrona, fuera del camino crítico de tu pago.

< 24 h

Respuesta del soporte

El soporte por correo responde en un día laborable. Tus preguntas de integración llegan al equipo técnico de partners, no a una cola anónima.

5 min

Ventana de recuperación segura

Idempotente por externalOrderId: puedes reintentar tras un timeout sin duplicar el conteo, y una petición capturada no se puede reenviar pasados cinco minutos.

Está prevista una página de estado pública. Mientras tanto, tu contacto de integración e incidencias es el equipo de partners, accesible desde la página de contacto.

Acceso anticipado

En beta privada

Más allá de la conversión, estas capacidades existen en beta privada. Cuéntanos qué estás construyendo para unirte al programa.

Beta privada

API REST de presupuestos y contratación

Presupuestos de varias aseguradoras, comparación y contratación por API, con sandbox y documentación OpenAPI.

Beta privada

API BIN de cobertura

Los 6 primeros dígitos de una tarjeta devuelven lo que ya cubre, para vender solo el hueco.

Beta privada

Servidor MCP

Herramientas tipadas para que tus agentes de IA busquen, comparen y contraten, ancladas en datos reales.

Preguntas técnicas

Lo que preguntan los equipos antes de integrar.

¿Cuál es el coste de la API?

Ninguno. No hay cuota de instalación, ni suscripción mensual, ni coste por llamada en la API de conversión ni en los deep links. Ganas el 50 % de las comisiones sobre las ventas generadas por tu integración; es el único flujo de dinero del programa.

¿Hay una API REST de presupuestos?

La API de conversión (postback) está en producción. La API REST de presupuestos y contratación existe en beta privada: solicita acceso anticipado y te abrimos un sandbox.

¿Cómo funciona la autenticación?

Con claves firmadas, propias de cada llamador. Calculas HMAC-SHA256 del secreto sobre timestamp.body y lo envías en x-atlas-signature, con una ventana antirreplay de 5 minutos. Existe una vía Bearer heredada mientras se migran los llamadores.

¿En qué divisa envío el importe?

El importe bruto en su divisa nativa, junto con el código de divisa. Atlas congela el tipo en el momento de la ingesta, convierte a EUR (divisa contable) y calcula la comisión según tu tarifa. Cualquier comisión que envíes se ignora.

¿Es idempotente el postback?

Sí. externalOrderId es la clave: reenviar el mismo estado no tiene efecto, y la máquina de estados rechaza las transiciones prohibidas con un 409 en lugar de aplicarlas en silencio.

¿Puedo pasar por Impact, Partnerize o Awin?

Sí. Exponemos un postback S2S estándar que se conecta de forma nativa con Impact, Partnerize, Awin, Voluum, RedTrack y Everflow, o un webhook hacia tu BI.

¿Tenéis una especificación OpenAPI?

Una referencia OpenAPI acompaña a la API REST de presupuestos en beta privada. La API de conversión está documentada por su contrato aquí arriba: endpoint, cabeceras firmadas, payload y códigos de respuesta.

¿Dais soporte a MCP?

Sí, en beta privada. El servidor MCP expone el presupuesto, la comparación y la contratación como herramientas tipadas que puede llamar tu LLM o agente.

¿Con qué disponibilidad y soporte puedo contar?

La API de conversión y los enlaces con seguimiento funcionan sobre Cloudflare Workers, desplegados en más de 300 puntos de presencia con conmutación automática, con una disponibilidad objetivo del 99,9 %. El soporte por correo responde en un día laborable. El postback es idempotente: cualquier timeout se puede reintentar sin riesgo. Está prevista una página de estado pública.

¿Tienes una pregunta técnica o comercial? Contáctanos

Construyamos

Conecta el seguro de viaje a tu producto

Cuéntanos qué estás construyendo. Te indicamos la vía más rápida (enlaces, postback o API) y te abrimos una clave.