Una URL de webhook abierta es una puerta sin cerradura. Configura autenticación: lo más sencillo es un Header Auth (un header secreto tipo X-API-Key que solo conocen tu workflow y el emisor). En escenarios exigentes, sube a firmas HMAC o JWT.

El emisor de un evento espera un acuse en segundos. Si tardas, muchos sistemas asumen que has fallado y reintentan, duplicando el evento. Si el procesamiento es pesado, responde de inmediato (incluso un 202 Accepted) y haz el trabajo en segundo plano.

Como el emisor puede reenviar el mismo evento, tu workflow tiene que tolerar duplicados sin crear dos pedidos. El patrón es una clave de idempotencia (idempotencyKey): el origen manda un identificador único, tú compruebas en una tabla de control (por ejemplo en SQL Server) si ya lo procesaste; si sí, respondes 200 sin hacer nada; si no, procesas y registras la clave.

No mezcles la URL de pruebas con la real, y ten clarísimo el estado del workflow (Active o no) antes de entregar una URL a quien te va a llamar.