セキュリティ

最終更新:2026-04-21

決済インフラはそのセキュリティ姿勢の上に成り立ちます。以下は、当社が実際に行っていること、行っていないこと、まだ持っていないと正直に言うことです。

1. 設計レベルでノンカストディアル

当社が提供する最も強固なセキュリティ保証はアーキテクチャによるものです:マーチャント資金を保持しません。絶対に。お客様がカードで支払うと、オンランプが法定通貨をUSDCに変換し、オンチェーン分配コントラクトが同一トランザクション内であなたのPolygonウォレットへアトミックにルーティングします。当社サーバーはイベントを見るだけで、残高は見ません。ホットウォレットなし、プールされたトレジャリーなし、オムニバス口座なし — つまり、攻撃者が侵入するハニーポットがありません。明日Peptide-Payが消えても、過去の支払いはウォレット内にオンチェーンで残ります。

2. インフラ

  • ホスティング:Vercel、グローバルエッジネットワークとDDoS保護。
  • ステートストア:Upstash Redis、通信時TLS、保管時AES-256。
  • 決済:Polygonメインネット、オンチェーンで検証済み — チェーン自体と同じセキュリティ前提。
  • DNS & CDN:HSTSプリロード、CAレコードピニング、DNSSEC有効で堅牢化。
  • シークレット:Vercelの暗号化envストアに保管、従業員オフボーディング時にローテーション。

3. 認証

  • マジックリンクのみ — パスワードなし、フィッシング対象なし、漏洩サイトから再利用するものもなし。
  • マジックリンクは単回使用、15分で有効期限切れ。
  • ダッシュボードセッションは短命(7日間)で、サインインしたブラウザに紐付け。
  • セッションCookieはHTTP-only、Secure、SameSite=Lax。
  • 疑わしいサインイン(新しい国、新しいASN)はメールアラートを発動、任意のアクティブセッションから取り消し可能。

4. ウェブフック

  • すべてのウェブフックはアカウントシークレットを使いHMAC-SHA256で署名。ペイロードを信頼する前に検証してください。
  • 署名ヘッダにはタイムスタンプを含みます。リプレイを防ぐため、5分以上古いものは拒否。
  • 指数バックオフ付きリトライキュー(30秒、2分、10分、30分、1時間、3時間、12時間、24時間)、その後ドロップ。
  • ドロップされたウェブフックは30日間ダッシュボードから再送可能。
  • 当社は現行の送信IPレンジを公開しているので、ファイアウォールで許可リスト化できます。

5. APIキー

  • キーは一度だけ表示、サーバー側ではハッシュ化(bcrypt)保存。当社が取り出すことはできません。
  • /app/settingsからいつでもローテーション可能 — 新旧キーは24時間並行動作、ダウンタイムなしでデプロイできます。
  • スコープ付きキーは2026年Q3予定。現時点ではフルアクセス。
  • キーごとにレート制限:ソフト100リクエスト/秒、ハード1000/秒。

6. 暗号化

  • 通信時:全エンドポイントでTLS 1.3。TLS 1.2はレガシーウェブフックコンシューマ向けのみ許容、非推奨フラグ付き。
  • 保管時:Upstash RedisとVercelブロブストレージでAES-256。
  • お客様メールはサーバーログ保存前にハッシュ化(SHA-256、マーチャントごとの塩付き)。マーチャントダッシュボードのみ平文で表示。

7. 責任ある開示とバグバウンティ

脆弱性を発見したら、PoCを添えて security@peptide-pay.com にメールしてください。PGP鍵は /.well-known/security.txt にあります。当社は以下をコミット:

  • 24時間以内に報告を受理。
  • 72時間以内にトリアージと確認。
  • 公開開示前の90日修正ウィンドウ(合意により延長可)。
  • 匿名を希望しない限り、セキュリティアドバイザリでクレジット。
  • バウンティレンジ:USD 100〜USD 5,000、Polygon上のUSDCで支払い、重大度(CVSS 3.1)に比例。
  • スコープ外:ソーシャルエンジニアリング、物理攻撃、DoS、rootedユーザーデバイスが必要なもの。

8. インシデント対応

マーチャントデータまたはサービスインテグリティに影響するインシデントを検知、または通知を受けた場合:

  • 影響を受けたマーチャントに確認から24時間以内にメール通知。
  • ステータスページを status.peptide-pay.com でリアルタイム更新。
  • GDPR第33条適用の場合、関連DPAに72時間以内に通知。
  • 14日以内の公開ポストモーテム(根本原因、タイムライン、具体的な修正を含む)。
  • 隠蔽なし。「定期メンテナンス」ごまかしもなし。インシデントをインシデントと呼びます。

9. 主張しないこと

マーケティング演劇より正直さ:

  • SOC 2レポートはまだなし。監査コストに見合うボリュームになり次第、2027年のロードマップ。
  • ISO 27001認証もまだなし。同じ理由。
  • PCI DSSスコープなし — 当社は意図的にカードデータに一切触れないため、PCIは当社スタックに適用されません。Moonpayに適用されます。
  • 24/7 SOCなし — ページング付きオンコールローテーションはありますが、ティア1銀行ではないし、そのふりもしません。
  • 上記のいずれかがコンプライアンスプログラムの必須要件なら、当社はまだ適切な決済代行ではありません。

10. お問い合わせ

セキュリティ報告:security@peptide-pay.com。PGPフィンガープリントは /.well-known/security.txt で公開。