Segurança

Atualizado em: 2026-04-21

Infraestrutura de pagamento vive e morre pela postura de segurança. Aqui está exatamente o que a gente faz, o que não faz e o que a gente não vai fingir ter ainda.

1. Não-custodial por design

A garantia de segurança mais forte que a gente oferece é arquitetural: a gente não segura fundos do merchant. Nunca. Quando o cliente paga com cartão, a on-ramp converte fiat em USDC e nosso splitter on-chain roteia atomicamente pra sua wallet Polygon na mesma transação. Nossos servidores veem um evento, não um saldo. Não tem hot wallet, não tem tesouraria pooled, não tem conta omnibus — então não tem honeypot pra um atacante invadir. Se o Peptide-Pay sumir amanhã, seus pagamentos passados ainda estão on-chain na sua wallet.

2. Infraestrutura

  • Hosting: Vercel, com rede edge global e proteção DDoS.
  • State store: Upstash Redis com TLS em trânsito e AES-256 at rest.
  • Settlement: mainnet Polygon, verificado on-chain — mesmas assumptions de segurança da chain.
  • DNS & CDN: endurecidos com HSTS preload, registros CAA fixando a CA, DNSSEC ativo.
  • Secrets: armazenados no env store criptografado da Vercel; rotacionados no offboarding de funcionário.

3. Autenticação

  • Só magic link — sem senha, nada pra phishar, nada pra reusar de um breach.
  • Magic links são de uso único e expiram em 15 minutos.
  • Sessions do dashboard duram pouco (7 dias) e ficam vinculadas ao browser que fez login.
  • Cookies de session são HTTP-only, Secure, SameSite=Lax.
  • Logins suspeitos (país novo, ASN novo) disparam alerta por email e podem ser revogados de qualquer session ativa.

4. Webhooks

  • Todo webhook é assinado com HMAC-SHA256 usando o secret da sua conta; verifica antes de confiar no payload.
  • Header de assinatura inclui timestamp; rejeita qualquer coisa mais velha que 5 minutos pra prevenir replay.
  • Fila de retry com backoff exponencial (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h) depois dropa.
  • Webhooks dropados ficam replayáveis pelo dashboard por 30 dias.
  • A gente publica o range de IP de egress atual pra você colocar no allowlist do firewall.

5. API keys

  • Keys são mostradas uma vez, armazenadas hasheadas (bcrypt) server-side; a gente não consegue recuperar pra você.
  • Rotacionáveis a qualquer momento em /app/settings — keys velha e nova funcionam em paralelo por 24 horas pra você deployar sem downtime.
  • Scoped keys estão planejadas pro Q3 2026; por enquanto keys têm acesso total.
  • Rate-limitadas por key: 100 req/segundo soft, 1000/segundo hard.

6. Criptografia

  • Em trânsito: TLS 1.3 em todo endpoint; TLS 1.2 permitido só pra consumers de webhook legacy e flagged pra deprecation.
  • At rest: AES-256 no Upstash Redis e no blob storage da Vercel.
  • Emails de cliente são hasheados (SHA-256 com salt por merchant) antes de ir pros logs de servidor; só o dashboard do merchant renderiza em claro.

7. Disclosure responsável & bug bounty

Se você achar uma vulnerabilidade, email security@peptide-pay.com com PoC. Nossa chave PGP está em /.well-known/security.txt. A gente se compromete a:

  • Reconhecer seu report em até 24 horas.
  • Triar e confirmar em até 72 horas.
  • Janela de fix de 90 dias antes da disclosure pública, estendível por acordo.
  • Te dar crédito no advisory de segurança a menos que você prefira anonimato.
  • Range de bounty: USD 100 a USD 5.000, pago em USDC na Polygon, escalado pela severidade (CVSS 3.1).
  • Fora de escopo: engenharia social, ataques físicos, DoS e qualquer coisa que precise de device do usuário rooteado.

8. Resposta a incidente

Se a gente detectar ou for informado de um incidente afetando dados de merchant ou integridade do serviço:

  • Merchants afetados notificados por email em até 24 horas da confirmação.
  • Página de status atualizada em tempo real em status.peptide-pay.com.
  • Onde o art. 33 do GDPR se aplica, a DPA relevante é notificada em até 72 horas.
  • Post-mortem público em até 14 dias, incluindo root cause, timeline e remediação concreta.
  • Sem esconder. Sem eufemismo de "manutenção de rotina". A gente chama incidente de incidente.

9. O que a gente NÃO afirma

Honestidade acima de teatro de marketing:

  • Sem report SOC 2 ainda. Na roadmap pra 2027 quando o volume justificar o custo da auditoria.
  • Sem certificação ISO 27001 ainda. Mesma razão.
  • Sem escopo PCI DSS — a gente intencionalmente nunca toca em dado de cartão, então PCI não se aplica à nossa stack. Se aplica à Moonpay.
  • Sem SOC 24/7 — rotação de on-call com paging, mas a gente não é banco tier-1 e não finge ser.
  • Se qualquer um dos itens acima for requisito duro pro seu programa de compliance, a gente provavelmente não é o processador certo pra você ainda.

10. Contato

Reports de segurança: security@peptide-pay.com. Fingerprint PGP publicado em /.well-known/security.txt.