Sicherheit

Zuletzt aktualisiert: 2026-04-21

Payment-Infrastruktur lebt und stirbt mit ihrer Security Posture. Hier ist genau, was wir tun, was wir nicht tun und was wir nicht vorgeben, schon zu haben.

1. Non-custodial by Design

Die stärkste Sicherheitsgarantie, die wir bieten, ist architektonisch: wir halten keine Merchant-Gelder. Niemals. Wenn ein Kunde mit Karte zahlt, konvertiert der On-Ramp Fiat zu USDC und unser On-Chain-Splitter routet es atomar in derselben Transaktion auf deine Polygon-Wallet. Unsere Server sehen ein Event, keinen Saldo. Es gibt keine Hot Wallet, keine gepoolte Treasury, kein Omnibus-Konto — also keinen Honeypot, in den ein Angreifer einbrechen könnte. Wenn Peptide-Pay morgen verschwände, wären deine vergangenen Zahlungen weiterhin on-chain auf deiner Wallet.

2. Infrastruktur

• Hosting: Vercel, mit globalem Edge-Netzwerk und DDoS-Schutz.
• State-Store: Upstash Redis mit TLS in Transit und AES-256 at Rest.
• Settlement: Polygon Mainnet, on-chain verifiziert — gleiche Sicherheitsannahmen wie die Chain selbst.
• DNS & CDN: gehärtet mit HSTS-Preload, CAA-Records mit CA-Pinning, DNSSEC aktiviert.
• Secrets: in Vercels verschlüsseltem Env-Store abgelegt; bei Mitarbeiter-Offboarding rotiert.

3. Authentifizierung

• Nur Magic Links — keine Passwörter, nichts zu phishen, nichts aus einem Leak wiederzuverwenden.
• Magic Links sind Single-Use und verfallen in 15 Minuten.
• Dashboard-Sessions sind kurzlebig (7 Tage) und an den einloggenden Browser gebunden.
• Session-Cookies sind HTTP-only, Secure, SameSite=Lax.
• Verdächtige Sign-ins (neues Land, neuer ASN) triggern einen E-Mail-Alert und können von jeder aktiven Session widerrufen werden.

4. Webhooks

• Jeder Webhook ist mit HMAC-SHA256 und deinem Account-Secret signiert; verifizieren, bevor du dem Payload traust.
• Signatur-Header enthält einen Zeitstempel; alles älter als 5 Minuten ablehnen, um Replay zu verhindern.
• Retry-Queue mit exponentiellem Backoff (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h), dann drop.
• Gedropte Webhooks bleiben 30 Tage vom Dashboard aus replaybar.
• Wir veröffentlichen den aktuellen IP-Egress-Range, damit du uns an der Firewall whitelisten kannst.

5. API-Keys

• Keys werden einmal angezeigt, serverseitig gehasht (bcrypt) gespeichert; wir können sie nicht für dich rausfischen.
• Jederzeit rotierbar unter /app/settings — alter und neuer Key funktionieren 24 Stunden parallel, damit du ohne Downtime deployen kannst.
• Scoped Keys sind für Q3 2026 geplant; aktuell sind Keys full-access.
• Rate-limited pro Key: 100 Requests/Sekunde soft, 1000/Sekunde hard.

6. Verschlüsselung

• In Transit: TLS 1.3 auf jedem Endpunkt; TLS 1.2 nur für Legacy-Webhook-Consumer erlaubt und zur Deprecation geflaggt.
• At Rest: AES-256 auf Upstash Redis und Vercel Blob Storage.
• Kunden-E-Mails werden gehasht (SHA-256 mit Per-Merchant-Salt), bevor sie in Server-Logs gehen; nur das Merchant-Dashboard rendert sie im Klartext.

7. Responsible Disclosure & Bug Bounty

Wenn du eine Schwachstelle findest, schreib an security@peptide-pay.com mit einem PoC. Unser PGP-Key liegt unter /.well-known/security.txt. Wir verpflichten uns zu:

• Bestätigung deiner Meldung innerhalb von 24 Stunden.
• Triage und Bestätigung innerhalb von 72 Stunden.
• Ein 90-Tage-Fix-Fenster vor öffentlicher Disclosure, per Vereinbarung verlängerbar.
• Namentliche Nennung im Security-Advisory, falls du nicht Anonymität bevorzugst.
• Bounty-Range: USD 100 bis USD 5.000, ausgezahlt in USDC auf Polygon, skaliert zur Severity (CVSS 3.1).
• Out of Scope: Social Engineering, physische Angriffe, DoS und alles, was ein gerootetes User-Device erfordert.

8. Incident Response

Wenn wir einen Incident, der Merchant-Daten oder die Service-Integrität betrifft, entdecken oder gemeldet bekommen:

• Betroffene Merchants per E-Mail benachrichtigt innerhalb von 24 Stunden nach Bestätigung.
• Statusseite in Echtzeit aktualisiert unter status.peptide-pay.com.
• Wo DSGVO Art. 33 greift, wird die zuständige DPA innerhalb von 72 Stunden benachrichtigt.
• Öffentliches Post-Mortem innerhalb von 14 Tagen, inklusive Root Cause, Timeline und konkreter Remediation.
• Kein Unter-den-Teppich-kehren. Keine „Routine-Wartung"-Euphemismen. Wir nennen Incidents Incidents.

9. Was wir NICHT behaupten

Ehrlichkeit vor Marketing-Theater:

• Noch kein SOC-2-Report. Auf der Roadmap für 2027, sobald das Volumen die Audit-Kosten rechtfertigt.
• Noch keine ISO-27001-Zertifizierung. Gleicher Grund.
• Kein PCI-DSS-Scope — wir fassen absichtlich nie Kartendaten an, also gilt PCI nicht für unseren Stack. Es gilt für Moonpay.
• Kein 24/7 SOC — On-Call-Rotation mit Paging, aber wir sind keine Tier-1-Bank und geben nicht vor, eine zu sein.
• Wenn eines davon eine harte Anforderung für dein Compliance-Programm ist, sind wir wahrscheinlich noch nicht der richtige Processor für dich.

10. Kontakt

Security-Meldungen: security@peptide-pay.com. PGP-Fingerprint veröffentlicht unter /.well-known/security.txt.