Infrastruktura płatności żyje i umiera na swojej postawie bezpieczeństwa. Oto dokładnie co robimy, czego nie robimy i czego nie będziemy udawać, że mamy.
1. Non-custodial by design
Najsilniejsza gwarancja bezpieczeństwa, jaką oferujemy, jest architektoniczna: nie trzymamy środków merchanta. Nigdy. Gdy klient płaci kartą, on-ramp konwertuje fiat na USDC, a nasz on-chain splitter atomowo routuje je na twój wallet Polygon w tej samej transakcji. Nasze serwery widzą event, nie balance. Nie ma hot walletu, nie ma pooled treasury, nie ma omnibus account — więc nie ma honeypota, do którego atakujący może się włamać. Jak Peptide-Pay zniknąłby jutro, twoje przeszłe płatności dalej byłyby on-chain w twoim wallecie.
2. Infrastruktura
Hosting: Vercel, z globalną edge network i ochroną DDoS.
State store: Upstash Redis z TLS in transit i AES-256 at rest.
Rozliczenie: Polygon mainnet, zweryfikowane on-chain — te same założenia bezpieczeństwa co sam chain.
DNS i CDN: hardenowane z HSTS preload, rekordami CAA pinującymi CA, włączonym DNSSEC.
Sekrety: przechowywane w zaszyfrowanym env store Vercela; rotowane przy offboardingu pracownika.
3. Autentykacja
Tylko magic linki — bez haseł, nic do phishowania, nic do reużycia z wycieku.
Magic linki są jednorazowe i wygasają w 15 minut.
Sesje dashboardu są krótkie (7 dni) i powiązane z przeglądarką, która się zalogowała.
Cookies sesji są HTTP-only, Secure, SameSite=Lax.
Podejrzane logowania (nowy kraj, nowy ASN) triggerują alert mailowy i mogą być odwołane z dowolnej aktywnej sesji.
4. Webhooki
Każdy webhook jest podpisany HMAC-SHA256 używając sekretu twojego konta; weryfikuj przed zaufaniem payloadowi.
Header podpisu zawiera timestamp; odrzucaj cokolwiek starszego niż 5 minut, żeby zapobiec replayowi.
Kolejka retry z exponential backoff (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h) potem drop.
Zrzucone webhooki pozostają replayowalne z dashboardu przez 30 dni.
Publikujemy aktualny zakres IP egress, żebyś mógł nas allowlistować na firewallu.
5. API keys
Klucze są pokazywane raz, przechowywane zahaszowane (bcrypt) server-side; nie możemy ci ich odzyskać.
Rotowalne w dowolnym momencie z /app/settings — stare i nowe klucze działają równolegle przez 24 godziny, żebyś mógł zdeployować bez przestoju.
Scoped keys są planowane na Q3 2026; na razie klucze są full-access.
Rate-limited per key: 100 requestów/sekundę soft, 1000/sekundę hard.
6. Szyfrowanie
In transit: TLS 1.3 na każdym endpoincie; TLS 1.2 dozwolony tylko dla legacy webhook consumerów i oflagowany do deprekacji.
At rest: AES-256 na Upstash Redis i Vercel blob storage.
Maile klientów są hashowane (SHA-256 z per-merchant salt) przed trafieniem do logów serwera; tylko dashboard merchanta renderuje je w otwarty sposób.
Okna naprawy 90 dni przed publicznym ujawnieniem, rozszerzalnego za porozumieniem.
Przyznania ci credit w security advisory, chyba że wolisz anonimowość.
Zakres bounty: USD 100 do USD 5,000, płacone w USDC na Polygonie, skalowane do severity (CVSS 3.1).
Poza zakresem: social engineering, ataki fizyczne, DoS i cokolwiek wymagającego zrootowanego urządzenia usera.
8. Response na incydenty
Jak wykryjemy albo zostaniemy poinformowani o incydencie wpływającym na dane merchanta albo integralność serwisu:
Dotknięci merchanci informowani mailem w 24 godziny od potwierdzenia.
Status page aktualizowany w czasie rzeczywistym na status.peptide-pay.com.
Gdzie stosuje się art. 33 GDPR, odpowiedni DPA jest informowany w 72 godziny.
Publiczny post-mortem w 14 dni, zawierający root cause, timeline i konkretną remediację.
Bez wyciszenia. Bez eufemizmów typu "rutynowa konserwacja". Nazywamy incydenty incydentami.
9. Czego NIE claim-ujemy
Szczerość ponad marketingowy teatr:
Jeszcze bez raportu SOC 2. Na roadmapie na 2027, jak wolumen uzasadni koszt audytu.
Jeszcze bez certyfikacji ISO 27001. Ten sam powód.
Bez zakresu PCI DSS — celowo nigdy nie dotykamy danych karty, więc PCI nie stosuje się do naszego stacka. Stosuje się do Moonpay.
Bez 24/7 SOC — rotacja on-call z pagingiem, ale nie jesteśmy tier-1 bankiem i nie udajemy, że nim jesteśmy.
Jak którekolwiek z powyższego jest twardym wymogiem dla twojego programu compliance, prawdopodobnie jeszcze nie jesteśmy odpowiednim procesorem dla ciebie.