Seguridad

Última actualización: 2026-04-21

La infraestructura de pagos vive y muere por su postura de seguridad. Aquí tienes exactamente qué hacemos, qué no hacemos y qué no vamos a pretender tener todavía.

1. Non-custodial por diseño

La garantía de seguridad más fuerte que ofrecemos es arquitectónica: no custodiamos fondos de merchants. Nunca. Cuando un cliente paga con tarjeta, el on-ramp convierte fiat a USDC y nuestro splitter on-chain lo routea atómicamente a tu wallet de Polygon en la misma transacción. Nuestros servidores ven un evento, no un balance. No hay hot wallet, ni treasury pooled, ni cuenta omnibus — así que no hay honeypot que un atacante pueda reventar. Si Peptide-Pay desapareciera mañana, tus pagos pasados seguirían on-chain en tu wallet.

2. Infraestructura

• Hosting: Vercel, con red edge global y protección DDoS.
• Store de estado: Upstash Redis con TLS en tránsito y AES-256 en reposo.
• Settlement: Polygon mainnet, verificado on-chain — mismas asunciones de seguridad que la propia cadena.
• DNS y CDN: endurecidos con HSTS preload, registros CAA fijando la CA, DNSSEC activado.
• Secrets: guardados en el env store cifrado de Vercel; rotados al offboarding de empleados.

3. Autenticación

• Solo magic links — sin contraseñas, nada que phishear, nada que reutilizar de un leak.
• Los magic links son de un solo uso y caducan en 15 minutos.
• Las sesiones del dashboard son de corta duración (7 días) y están atadas al navegador que inició sesión.
• Las cookies de sesión son HTTP-only, Secure, SameSite=Lax.
• Los inicios de sesión sospechosos (país nuevo, ASN nuevo) disparan una alerta por email y se pueden revocar desde cualquier sesión activa.

4. Webhooks

• Cada webhook se firma con HMAC-SHA256 usando el secret de tu cuenta; verifica antes de confiar en el payload.
• El header de firma incluye un timestamp; rechaza cualquier cosa más antigua de 5 minutos para prevenir replay.
• Cola de retries con backoff exponencial (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h) y luego drop.
• Los webhooks descartados se pueden reenviar desde el dashboard durante 30 días.
• Publicamos el rango IP de egress actual para que nos añadas al allowlist del firewall.

5. API keys

• Las keys se muestran una vez, se guardan hasheadas (bcrypt) server-side; no podemos recuperarlas por ti.
• Rotables en cualquier momento desde /app/settings — key vieja y nueva funcionan en paralelo durante 24 horas para que despliegues sin downtime.
• Las keys con scope están previstas para Q3 2026; por ahora son full-access.
• Rate-limit por key: 100 req/s soft, 1000/s hard.

6. Cifrado

• En tránsito: TLS 1.3 en todos los endpoints; TLS 1.2 permitido solo para consumidores legacy de webhook y marcado para deprecación.
• En reposo: AES-256 en Upstash Redis y en blob storage de Vercel.
• Los emails de clientes se hashean (SHA-256 con salt por merchant) antes de ir a los logs del servidor; solo el dashboard del merchant los renderiza en claro.

7. Responsible disclosure y bug bounty

Si encuentras una vulnerabilidad, escribe a security@peptide-pay.com con un PoC. Nuestra clave PGP está en /.well-known/security.txt. Nos comprometemos a:

• Acusar recibo de tu reporte en 24 horas.
• Triajear y confirmar en 72 horas.
• Una ventana de fix de 90 días antes de la disclosure pública, extensible por acuerdo.
• Darte crédito en el security advisory salvo que prefieras anonimato.
• Rango de bounty: 100 USD a 5.000 USD, pagado en USDC sobre Polygon, escalado por severidad (CVSS 3.1).
• Fuera de scope: ingeniería social, ataques físicos, DoS y todo lo que requiera un dispositivo del usuario rooteado.

8. Respuesta a incidentes

Si detectamos o nos informan de un incidente que afecta a datos de merchant o a la integridad del servicio:

• Merchants afectados notificados por email en 24 horas desde la confirmación.
• Status page actualizada en tiempo real en status.peptide-pay.com.
• Donde aplique el art. 33 del RGPD, se notifica a la DPA relevante en 72 horas.
• Post-mortem público en 14 días, con root cause, timeline y remediación concreta.
• Sin tapujos. Sin eufemismos de "mantenimiento rutinario". A los incidentes los llamamos incidentes.

9. Lo que NO pretendemos

Honestidad por encima del teatro de marketing:

• Aún no tenemos informe SOC 2. En el roadmap para 2027 cuando el volumen justifique el coste de la auditoría.
• Aún no tenemos certificación ISO 27001. Misma razón.
• Sin scope PCI DSS — no tocamos datos de tarjeta a propósito, así que PCI no aplica a nuestro stack. Aplica a Moonpay.
• Sin SOC 24/7 — rotación on-call con paging, pero no somos un banco de tier 1 y no pretendemos serlo.
• Si algo de lo anterior es un requisito duro de tu programa de compliance, probablemente no somos aún el procesador adecuado para ti.

10. Contacto

Reportes de seguridad: security@peptide-pay.com. Fingerprint PGP publicado en /.well-known/security.txt.