Sicherheit

Zuletzt aktualisiert: 2026-04-21

Payment-Infrastruktur lebt und stirbt mit ihrer Security Posture. Hier ist genau, was wir tun, was wir nicht tun und was wir nicht vorgeben, schon zu haben.

1. Non-custodial by Design

Die stärkste Sicherheitsgarantie, die wir bieten, ist architektonisch: wir halten keine Merchant-Gelder. Niemals. Wenn ein Kunde mit Karte zahlt, konvertiert der On-Ramp Fiat zu USDC und unser On-Chain-Splitter routet es atomar in derselben Transaktion auf deine Polygon-Wallet. Unsere Server sehen ein Event, keinen Saldo. Es gibt keine Hot Wallet, keine gepoolte Treasury, kein Omnibus-Konto — also keinen Honeypot, in den ein Angreifer einbrechen könnte. Wenn Peptide-Pay morgen verschwände, wären deine vergangenen Zahlungen weiterhin on-chain auf deiner Wallet.

2. Infrastruktur

  • Hosting: Vercel, mit globalem Edge-Netzwerk und DDoS-Schutz.
  • State-Store: Upstash Redis mit TLS in Transit und AES-256 at Rest.
  • Settlement: Polygon Mainnet, on-chain verifiziert — gleiche Sicherheitsannahmen wie die Chain selbst.
  • DNS & CDN: gehärtet mit HSTS-Preload, CAA-Records mit CA-Pinning, DNSSEC aktiviert.
  • Secrets: in Vercels verschlüsseltem Env-Store abgelegt; bei Mitarbeiter-Offboarding rotiert.

3. Authentifizierung

  • Nur Magic Links — keine Passwörter, nichts zu phishen, nichts aus einem Leak wiederzuverwenden.
  • Magic Links sind Single-Use und verfallen in 15 Minuten.
  • Dashboard-Sessions sind kurzlebig (7 Tage) und an den einloggenden Browser gebunden.
  • Session-Cookies sind HTTP-only, Secure, SameSite=Lax.
  • Verdächtige Sign-ins (neues Land, neuer ASN) triggern einen E-Mail-Alert und können von jeder aktiven Session widerrufen werden.

4. Webhooks

  • Jeder Webhook ist mit HMAC-SHA256 und deinem Account-Secret signiert; verifizieren, bevor du dem Payload traust.
  • Signatur-Header enthält einen Zeitstempel; alles älter als 5 Minuten ablehnen, um Replay zu verhindern.
  • Retry-Queue mit exponentiellem Backoff (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h), dann drop.
  • Gedropte Webhooks bleiben 30 Tage vom Dashboard aus replaybar.
  • Wir veröffentlichen den aktuellen IP-Egress-Range, damit du uns an der Firewall whitelisten kannst.

5. API-Keys

  • Keys werden einmal angezeigt, serverseitig gehasht (bcrypt) gespeichert; wir können sie nicht für dich rausfischen.
  • Jederzeit rotierbar unter /app/settings — alter und neuer Key funktionieren 24 Stunden parallel, damit du ohne Downtime deployen kannst.
  • Scoped Keys sind für Q3 2026 geplant; aktuell sind Keys full-access.
  • Rate-limited pro Key: 100 Requests/Sekunde soft, 1000/Sekunde hard.

6. Verschlüsselung

  • In Transit: TLS 1.3 auf jedem Endpunkt; TLS 1.2 nur für Legacy-Webhook-Consumer erlaubt und zur Deprecation geflaggt.
  • At Rest: AES-256 auf Upstash Redis und Vercel Blob Storage.
  • Kunden-E-Mails werden gehasht (SHA-256 mit Per-Merchant-Salt), bevor sie in Server-Logs gehen; nur das Merchant-Dashboard rendert sie im Klartext.

7. Responsible Disclosure & Bug Bounty

Wenn du eine Schwachstelle findest, schreib an security@peptide-pay.com mit einem PoC. Unser PGP-Key liegt unter /.well-known/security.txt. Wir verpflichten uns zu:

  • Bestätigung deiner Meldung innerhalb von 24 Stunden.
  • Triage und Bestätigung innerhalb von 72 Stunden.
  • Ein 90-Tage-Fix-Fenster vor öffentlicher Disclosure, per Vereinbarung verlängerbar.
  • Namentliche Nennung im Security-Advisory, falls du nicht Anonymität bevorzugst.
  • Bounty-Range: USD 100 bis USD 5.000, ausgezahlt in USDC auf Polygon, skaliert zur Severity (CVSS 3.1).
  • Out of Scope: Social Engineering, physische Angriffe, DoS und alles, was ein gerootetes User-Device erfordert.

8. Incident Response

Wenn wir einen Incident, der Merchant-Daten oder die Service-Integrität betrifft, entdecken oder gemeldet bekommen:

  • Betroffene Merchants per E-Mail benachrichtigt innerhalb von 24 Stunden nach Bestätigung.
  • Statusseite in Echtzeit aktualisiert unter status.peptide-pay.com.
  • Wo DSGVO Art. 33 greift, wird die zuständige DPA innerhalb von 72 Stunden benachrichtigt.
  • Öffentliches Post-Mortem innerhalb von 14 Tagen, inklusive Root Cause, Timeline und konkreter Remediation.
  • Kein Unter-den-Teppich-kehren. Keine „Routine-Wartung"-Euphemismen. Wir nennen Incidents Incidents.

9. Was wir NICHT behaupten

Ehrlichkeit vor Marketing-Theater:

  • Noch kein SOC-2-Report. Auf der Roadmap für 2027, sobald das Volumen die Audit-Kosten rechtfertigt.
  • Noch keine ISO-27001-Zertifizierung. Gleicher Grund.
  • Kein PCI-DSS-Scope — wir fassen absichtlich nie Kartendaten an, also gilt PCI nicht für unseren Stack. Es gilt für Moonpay.
  • Kein 24/7 SOC — On-Call-Rotation mit Paging, aber wir sind keine Tier-1-Bank und geben nicht vor, eine zu sein.
  • Wenn eines davon eine harte Anforderung für dein Compliance-Programm ist, sind wir wahrscheinlich noch nicht der richtige Processor für dich.

10. Kontakt

Security-Meldungen: security@peptide-pay.com. PGP-Fingerprint veröffentlicht unter /.well-known/security.txt.