セキュリティ

最終更新:2026-04-21

決済インフラはそのセキュリティ姿勢の上に成り立ちます。以下は、当社が実際に行っていること、行っていないこと、まだ持っていないと正直に言うことです。

1. 設計レベルでノンカストディアル

当社が提供する最も強固なセキュリティ保証はアーキテクチャによるものです:マーチャント資金を保持しません。絶対に。お客様がカードで支払うと、オンランプが法定通貨をUSDCに変換し、オンチェーン分配コントラクトが同一トランザクション内であなたのPolygonウォレットへアトミックにルーティングします。当社サーバーはイベントを見るだけで、残高は見ません。ホットウォレットなし、プールされたトレジャリーなし、オムニバス口座なし — つまり、攻撃者が侵入するハニーポットがありません。明日Peptide-Payが消えても、過去の支払いはウォレット内にオンチェーンで残ります。

2. インフラ

• ホスティング:Vercel、グローバルエッジネットワークとDDoS保護。
• ステートストア:Upstash Redis、通信時TLS、保管時AES-256。
• 決済:Polygonメインネット、オンチェーンで検証済み — チェーン自体と同じセキュリティ前提。
• DNS & CDN:HSTSプリロード、CAレコードピニング、DNSSEC有効で堅牢化。
• シークレット:Vercelの暗号化envストアに保管、従業員オフボーディング時にローテーション。

3. 認証

• マジックリンクのみ — パスワードなし、フィッシング対象なし、漏洩サイトから再利用するものもなし。
• マジックリンクは単回使用、15分で有効期限切れ。
• ダッシュボードセッションは短命(7日間)で、サインインしたブラウザに紐付け。
• セッションCookieはHTTP-only、Secure、SameSite=Lax。
• 疑わしいサインイン(新しい国、新しいASN)はメールアラートを発動、任意のアクティブセッションから取り消し可能。

4. ウェブフック

• すべてのウェブフックはアカウントシークレットを使いHMAC-SHA256で署名。ペイロードを信頼する前に検証してください。
• 署名ヘッダにはタイムスタンプを含みます。リプレイを防ぐため、5分以上古いものは拒否。
• 指数バックオフ付きリトライキュー(30秒、2分、10分、30分、1時間、3時間、12時間、24時間)、その後ドロップ。
• ドロップされたウェブフックは30日間ダッシュボードから再送可能。
• 当社は現行の送信IPレンジを公開しているので、ファイアウォールで許可リスト化できます。

5. APIキー

• キーは一度だけ表示、サーバー側ではハッシュ化(bcrypt)保存。当社が取り出すことはできません。
• /app/settingsからいつでもローテーション可能 — 新旧キーは24時間並行動作、ダウンタイムなしでデプロイできます。
• スコープ付きキーは2026年Q3予定。現時点ではフルアクセス。
• キーごとにレート制限:ソフト100リクエスト/秒、ハード1000/秒。

6. 暗号化

• 通信時:全エンドポイントでTLS 1.3。TLS 1.2はレガシーウェブフックコンシューマ向けのみ許容、非推奨フラグ付き。
• 保管時:Upstash RedisとVercelブロブストレージでAES-256。
• お客様メールはサーバーログ保存前にハッシュ化(SHA-256、マーチャントごとの塩付き)。マーチャントダッシュボードのみ平文で表示。

7. 責任ある開示とバグバウンティ

脆弱性を発見したら、PoCを添えて security@peptide-pay.com にメールしてください。PGP鍵は /.well-known/security.txt にあります。当社は以下をコミット:

• 24時間以内に報告を受理。
• 72時間以内にトリアージと確認。
• 公開開示前の90日修正ウィンドウ(合意により延長可)。
• 匿名を希望しない限り、セキュリティアドバイザリでクレジット。
• バウンティレンジ:USD 100〜USD 5,000、Polygon上のUSDCで支払い、重大度(CVSS 3.1)に比例。
• スコープ外:ソーシャルエンジニアリング、物理攻撃、DoS、rootedユーザーデバイスが必要なもの。

8. インシデント対応

マーチャントデータまたはサービスインテグリティに影響するインシデントを検知、または通知を受けた場合:

• 影響を受けたマーチャントに確認から24時間以内にメール通知。
• ステータスページを status.peptide-pay.com でリアルタイム更新。
• GDPR第33条適用の場合、関連DPAに72時間以内に通知。
• 14日以内の公開ポストモーテム(根本原因、タイムライン、具体的な修正を含む)。
• 隠蔽なし。「定期メンテナンス」ごまかしもなし。インシデントをインシデントと呼びます。

9. 主張しないこと

マーケティング演劇より正直さ:

• SOC 2レポートはまだなし。監査コストに見合うボリュームになり次第、2027年のロードマップ。
• ISO 27001認証もまだなし。同じ理由。
• PCI DSSスコープなし — 当社は意図的にカードデータに一切触れないため、PCIは当社スタックに適用されません。Moonpayに適用されます。
• 24/7 SOCなし — ページング付きオンコールローテーションはありますが、ティア1銀行ではないし、そのふりもしません。
• 上記のいずれかがコンプライアンスプログラムの必須要件なら、当社はまだ適切な決済代行ではありません。

10. お問い合わせ

セキュリティ報告:security@peptide-pay.com。PGPフィンガープリントは /.well-known/security.txt で公開。