Security

Laatst bijgewerkt: 2026-04-21

Payment-infrastructuur leeft en sterft bij zijn security posture. Hier is precies wat we doen, wat we niet doen, en wat we niet zullen pretenderen al te hebben.

1. Non-custodial by design

De sterkste security-garantie die we bieden is architecturaal: we houden geen merchant-funds vast. Ooit. Wanneer een klant met een kaart betaalt, converteert de on-ramp fiat naar USDC en onze on-chain splitter routet het atomisch naar je Polygon-wallet in dezelfde transactie. Onze servers zien een event, geen balans. Er is geen hot wallet, geen pooled treasury, geen omnibus-account — dus er is geen honeypot voor een aanvaller om in te breken. Als Peptide-Pay morgen verdween, zouden je eerdere betalingen nog on-chain in je wallet staan.

2. Infrastructuur

• Hosting: Vercel, met global edge network en DDoS-bescherming.
• State store: Upstash Redis met TLS in transit en AES-256 at rest.
• Settlement: Polygon mainnet, on-chain geverifieerd — dezelfde security-aannames als de chain zelf.
• DNS & CDN: gehard met HSTS preload, CAA-records die de CA pinnen, DNSSEC ingeschakeld.
• Secrets: opgeslagen in Vercel's encrypted env store; geroteerd bij employee-offboarding.

3. Authenticatie

• Alleen magic links — geen wachtwoorden, niets om te phishen, niets om te hergebruiken uit een breach.
• Magic links zijn single-use en vervallen in 15 minuten.
• Dashboard-sessies zijn kortlevend (7 dagen) en gekoppeld aan de browser waarmee is ingelogd.
• Session-cookies zijn HTTP-only, Secure, SameSite=Lax.
• Verdachte logins (nieuw land, nieuwe ASN) triggeren een e-mail-alert en kunnen worden ingetrokken vanuit elke actieve sessie.

4. Webhooks

• Elke webhook is getekend met HMAC-SHA256 met je account-secret; verifieer voordat je de payload vertrouwt.
• Signature-header bevat een timestamp; weiger alles ouder dan 5 minuten om replay te voorkomen.
• Retry-queue met exponentieel backoff (30s, 2m, 10m, 30m, 1u, 3u, 12u, 24u) en dan droppen.
• Gedropte webhooks blijven 30 dagen afspeelbaar vanuit het dashboard.
• We publiceren de huidige IP-egress-range zodat je ons op de firewall kunt allowlisten.

5. API-keys

• Keys worden één keer getoond, server-side hashed (bcrypt) opgeslagen; we kunnen ze niet voor je ophalen.
• Rouleerbaar op elk moment vanuit /app/settings — oude en nieuwe keys werken 24 uur parallel zodat je kunt deployen zonder downtime.
• Scoped keys zijn gepland voor Q3 2026; voorlopig zijn keys full-access.
• Rate-limited per key: 100 requests/seconde soft, 1000/seconde hard.

6. Encryptie

• In transit: TLS 1.3 op elk endpoint; TLS 1.2 alleen toegestaan voor legacy webhook-consumers en gemarkeerd voor deprecation.
• At rest: AES-256 op Upstash Redis en Vercel blob-storage.
• Klant-e-mails worden gehasht (SHA-256 met per-merchant salt) voordat ze in server logs gaan; alleen het merchant-dashboard toont ze in klare tekst.

7. Responsible disclosure & bug bounty

Als je een kwetsbaarheid vindt, mail security@peptide-pay.com met een PoC. Onze PGP-key staat op /.well-known/security.txt. We verbinden ons aan:

• Je rapport binnen 24 uur bevestigen.
• Triage en bevestiging binnen 72 uur.
• Een 90-daagse fix-window voor publieke disclosure, verlengbaar met wederzijdse afspraak.
• Credit in de security-advisory tenzij je anonimiteit verkiest.
• Bounty-range: USD 100 tot USD 5.000, betaald in USDC op Polygon, geschaald aan severity (CVSS 3.1).
• Buiten scope: social engineering, fysieke aanvallen, DoS, en alles wat een rooted user device vereist.

8. Incident response

Als we een incident detecteren of over een incident worden geïnformeerd dat merchant-data of service-integriteit raakt:

• Getroffen merchants per e-mail geïnformeerd binnen 24 uur na bevestiging.
• Status page in real time geüpdatet op status.peptide-pay.com.
• Waar GDPR art. 33 van toepassing is, wordt de relevante DPA binnen 72 uur ingelicht.
• Publieke post-mortem binnen 14 dagen, inclusief root cause, tijdlijn, en concrete remediation.
• Geen doofpot. Geen "routineonderhoud"-eufemismen. Wij noemen incidenten incidenten.

9. Wat we NIET claimen

Eerlijkheid boven marketing-theater:

• Nog geen SOC 2-rapport. Op de roadmap voor 2027 zodra volume de audit-kosten rechtvaardigt.
• Nog geen ISO 27001-certificering. Zelfde reden.
• Geen PCI DSS-scope — we raken bewust nooit card-data aan, dus PCI is niet van toepassing op onze stack. Het is van toepassing op Moonpay.
• Geen 24/7 SOC — on-call rotatie met paging, maar we zijn geen tier-1 bank en pretenderen er ook geen te zijn.
• Als een van de bovenstaande een harde vereiste is voor je compliance-programma, zijn wij waarschijnlijk nog niet de juiste processor voor je.

10. Contact

Security-rapportages: security@peptide-pay.com. PGP-fingerprint gepubliceerd op /.well-known/security.txt.