L'infrastruttura di pagamento vive o muore sulla sua postura di sicurezza. Ecco esattamente cosa facciamo, cosa non facciamo, e cosa non fingeremo ancora di avere.
1. Non-custodial by design
La garanzia di sicurezza più forte che offriamo è architetturale: non teniamo i fondi del merchant. Mai. Quando un cliente paga con carta, l'on-ramp converte fiat in USDC e il nostro splitter on-chain instrada atomicamente al tuo wallet Polygon nella stessa transazione. I nostri server vedono un evento, non un saldo. Non c'è un hot wallet, nessuna treasury pooled, nessun conto omnibus — quindi non c'è un honeypot in cui un attacker possa entrare. Se Peptide-Pay sparisse domani, i tuoi pagamenti passati sarebbero comunque on-chain nel tuo wallet.
2. Infrastruttura
Hosting: Vercel, con rete edge globale e protezione DDoS.
State store: Upstash Redis con TLS in transito e AES-256 a riposo.
Settlement: Polygon mainnet, verificato on-chain — stesse assunzioni di sicurezza della chain stessa.
DNS & CDN: hardened con HSTS preload, record CAA che pinnano la CA, DNSSEC attivo.
Secret: memorizzati nell'env store cifrato di Vercel; ruotati all'offboarding dipendenti.
3. Autenticazione
Solo magic link — niente password, niente da phishare, niente da riusare da un breach.
I magic link sono monouso e scadono in 15 minuti.
Le sessioni dashboard durano poco (7 giorni) e sono legate al browser che ha fatto login.
I cookie di sessione sono HTTP-only, Secure, SameSite=Lax.
I login sospetti (paese nuovo, ASN nuovo) fanno partire un alert email e si possono revocare da qualsiasi sessione attiva.
4. Webhook
Ogni webhook è firmato con HMAC-SHA256 usando il secret del tuo account; verifica prima di fidarti del payload.
L'header di firma include un timestamp; rifiuta tutto ciò che è più vecchio di 5 minuti per prevenire replay.
Coda di retry con backoff esponenziale (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h) poi drop.
I webhook droppati restano replayabili dalla dashboard per 30 giorni.
Pubblichiamo il range di IP egress attuale così puoi whitelistarci sul firewall.
5. Chiavi API
Le chiavi sono mostrate una sola volta, memorizzate hashate (bcrypt) server-side; non possiamo recuperarle per te.
Ruotabili in qualsiasi momento da /app/settings — chiavi vecchie e nuove funzionano in parallelo per 24 ore così puoi fare deploy senza downtime.
Chiavi con scope sono previste per Q3 2026; per ora le chiavi sono a pieno accesso.
Rate-limit per chiave: 100 req/sec soft, 1000/sec hard.
6. Cifratura
In transito: TLS 1.3 su ogni endpoint; TLS 1.2 permesso solo per consumer webhook legacy e flaggato per deprecazione.
A riposo: AES-256 su Upstash Redis e blob storage Vercel.
Le email dei clienti vengono hashate (SHA-256 con salt per-merchant) prima di finire nei log server; solo la dashboard merchant le renderizza in chiaro.
Finestra di fix di 90 giorni prima della disclosure pubblica, estendibile d'accordo.
Accreditarti nell'advisory di sicurezza a meno che tu preferisca l'anonimato.
Range bounty: USD 100 a USD 5.000, pagato in USDC su Polygon, scalato alla severity (CVSS 3.1).
Fuori scope: social engineering, attacchi fisici, DoS e qualsiasi cosa richieda un device utente rootato.
8. Incident response
Se rileviamo o veniamo informati di un incidente che colpisce i dati merchant o l'integrità del servizio:
Merchant colpiti notificati via email entro 24 ore dalla conferma.
Status page aggiornata in tempo reale su status.peptide-pay.com.
Dove si applica l'art. 33 GDPR, la DPA competente è notificata entro 72 ore.
Post-mortem pubblico entro 14 giorni, con root cause, timeline e remediation concreta.
Niente omertà. Nessun eufemismo tipo "manutenzione di routine". Chiamiamo gli incidenti incidenti.
9. Cosa NON rivendichiamo
Onestà sopra il marketing theater:
Niente report SOC 2 ancora. In roadmap per il 2027 quando il volume giustificherà il costo dell'audit.
Niente certificazione ISO 27001 ancora. Stesso motivo.
Niente scope PCI DSS — di proposito non tocchiamo mai dati carta, quindi PCI non si applica al nostro stack. Si applica a Moonpay.
Niente SOC 24/7 — rotazione on-call con paging, ma non siamo una banca tier-1 e non facciamo finta di esserlo.
Se uno qualsiasi dei punti sopra è un requisito non negoziabile per il tuo programma di compliance, probabilmente non siamo ancora il processor giusto per te.