Waarom POS-bestellingen de fraudewachtrij overslaan

Waarom dit het juiste gedrag is

De fraudewachtrij bestaat omdat online checkouts card-not-present zijn. De Risk API van Shopify markeert patronen die correleren met gestolen-kaart-gebruik — niet-overeenkomende facturatieadressen, anonimiseringsproxies, snelheid vanaf één IP. Geen van die signalen geldt op de POS: de kaart is in de winkel ingevoerd, getikt of gestoken, de issuer heeft hem ter plekke geauthenticeerd en de chargeback-aansprakelijkheid verschuift naar de issuer bij een chip-en-pincode-verkoop. De bestelling vasthouden zou betekenen dat een klant aan de toonbank wacht op een mail die de merchant ook vasthoudt. Directe licentiecodetoewijzing is wat merchants hier willen.

Wat dit in de praktijk betekent

Drie concrete gevolgen vloeien voort uit de POS-bypass:

Licentiecodes worden direct toegewezen. De koper loopt met een werkende code naar buiten, niet met eentje in afwachting.
De downloadmail gaat af op de ORDERS_PAID-webhook. Is de bestelling in de POS aangeslagen tegen een klantprofiel, dan komt de mail binnen enkele seconden na het printen van de bon binnen.
De bestelling verschijnt nooit in de fraudewachtrij. Geen FraudCheckQueue-rij, geen aanroep van de Shopify Risk API, geen risicoscore ergens in de Alva-admin.

Screenshot nodig

Alva-admin → besteldetailpagina voor een POS-bestelling. Toon de bestelheader met de Shopify-kanaalpil "Point of Sale" en een kleine indicator "Fraudecheck overgeslagen — POS-bestelling" op de plek waar de risicoscore normaal zou staan. Alternatief: de lege fraudewachtrij met een voettekst dat POS-bestellingen worden uitgesloten.

Het Alva-besteldetail toont een duidelijke markering dat de bestelling de fraudewachtrij heeft omzeild.

Waar dit in code wordt afgedwongen

De bypass staat in app/models/webhooks.server.neworder.ts op regel 79. De handler leest het klant-ID uit de payload en breekt af wanneer er geen aanwezig is. Hij logt "Order <number> has no customer (POS/guest/draft order), skipping digital delivery" en returnt voordat er een codepad draait dat de Shopify Risk API of de FraudCheckQueue-tabel raakt. Er is geen schakelaar, geen override per shop en geen escape per bestelling.

Bijwerkingen om te kennen

De Risk API overslaan betekent dat POS-bestellingen nergens in Alva een risicoscore hebben. Heeft een specifieke in-store-verkoop later handmatige review nodig, open dan de bestelling in de Alva-admin en klik op Toegang uitschakelen — downloadlinks werken niet meer en eventueel toegewezen licentiecodes keren terug naar de pool. De volledige walkthrough staat hieronder gelinkt.

Zie ook

POS & bestelstatus

Sell digital products at Shopify POS

De end-to-end in-store-flow.

Fraude & beveiliging

Hoe fraudechecks werken en wanneer downloads worden tegengehouden

Het online-bestelpad dat POS bewust vermijdt.

Fraude & beveiliging

Downloadtoegang intrekken na een terugbetaling of chargeback

Schakel toegang uit op een POS-bestelling als later review nodig is.

Veelgestelde vragen

Kan ik een fraudecheck afdwingen op een POS-bestelling?

Nee. De POS-tak is onvoorwaardelijk — Alva breekt af vóór hij de Shopify Risk API bereikt voor elke bestelling zonder klantrecord. Gebruik voor handmatige review Toegang uitschakelen op de Alva-besteldetailpagina.

Hoe trek ik een POS-bestelling in als dat moet?

Open de bestelling in de Alva-admin en klik op Toegang uitschakelen. Downloadlinks werken direct niet meer en eventueel toegewezen licentiecodes keren terug naar de pool.

Geldt dit ook voor conceptbestellingen, of alleen POS?

Het geldt voor elke betaalde bestelling zonder klantrecord in de webhook-payload — POS-verkopen, conceptbestellingen zonder gekoppelde klant en gast-checkouts. Alle drie slaan fraudechecks om dezelfde reden over.

Was dit nuttig?

Kom je er niet uit? Mail ons.

Laatst bijgewerkt 2026-05-06