Segurança

Atualizado em: 2026-04-21

Infraestrutura de pagamento vive e morre pela postura de segurança. Aqui está exatamente o que a gente faz, o que não faz e o que a gente não vai fingir ter ainda.

1. Não-custodial por design

A garantia de segurança mais forte que a gente oferece é arquitetural: a gente não segura fundos do merchant. Nunca. Quando o cliente paga com cartão, a on-ramp converte fiat em USDC e nosso splitter on-chain roteia atomicamente pra sua wallet Polygon na mesma transação. Nossos servidores veem um evento, não um saldo. Não tem hot wallet, não tem tesouraria pooled, não tem conta omnibus — então não tem honeypot pra um atacante invadir. Se o Peptide-Pay sumir amanhã, seus pagamentos passados ainda estão on-chain na sua wallet.

2. Infraestrutura

• Hosting: Vercel, com rede edge global e proteção DDoS.
• State store: Upstash Redis com TLS em trânsito e AES-256 at rest.
• Settlement: mainnet Polygon, verificado on-chain — mesmas assumptions de segurança da chain.
• DNS & CDN: endurecidos com HSTS preload, registros CAA fixando a CA, DNSSEC ativo.
• Secrets: armazenados no env store criptografado da Vercel; rotacionados no offboarding de funcionário.

3. Autenticação

• Só magic link — sem senha, nada pra phishar, nada pra reusar de um breach.
• Magic links são de uso único e expiram em 15 minutos.
• Sessions do dashboard duram pouco (7 dias) e ficam vinculadas ao browser que fez login.
• Cookies de session são HTTP-only, Secure, SameSite=Lax.
• Logins suspeitos (país novo, ASN novo) disparam alerta por email e podem ser revogados de qualquer session ativa.

4. Webhooks

• Todo webhook é assinado com HMAC-SHA256 usando o secret da sua conta; verifica antes de confiar no payload.
• Header de assinatura inclui timestamp; rejeita qualquer coisa mais velha que 5 minutos pra prevenir replay.
• Fila de retry com backoff exponencial (30s, 2m, 10m, 30m, 1h, 3h, 12h, 24h) depois dropa.
• Webhooks dropados ficam replayáveis pelo dashboard por 30 dias.
• A gente publica o range de IP de egress atual pra você colocar no allowlist do firewall.

5. API keys

• Keys são mostradas uma vez, armazenadas hasheadas (bcrypt) server-side; a gente não consegue recuperar pra você.
• Rotacionáveis a qualquer momento em /app/settings — keys velha e nova funcionam em paralelo por 24 horas pra você deployar sem downtime.
• Scoped keys estão planejadas pro Q3 2026; por enquanto keys têm acesso total.
• Rate-limitadas por key: 100 req/segundo soft, 1000/segundo hard.

6. Criptografia

• Em trânsito: TLS 1.3 em todo endpoint; TLS 1.2 permitido só pra consumers de webhook legacy e flagged pra deprecation.
• At rest: AES-256 no Upstash Redis e no blob storage da Vercel.
• Emails de cliente são hasheados (SHA-256 com salt por merchant) antes de ir pros logs de servidor; só o dashboard do merchant renderiza em claro.

7. Disclosure responsável & bug bounty

Se você achar uma vulnerabilidade, email security@peptide-pay.com com PoC. Nossa chave PGP está em /.well-known/security.txt. A gente se compromete a:

• Reconhecer seu report em até 24 horas.
• Triar e confirmar em até 72 horas.
• Janela de fix de 90 dias antes da disclosure pública, estendível por acordo.
• Te dar crédito no advisory de segurança a menos que você prefira anonimato.
• Range de bounty: USD 100 a USD 5.000, pago em USDC na Polygon, escalado pela severidade (CVSS 3.1).
• Fora de escopo: engenharia social, ataques físicos, DoS e qualquer coisa que precise de device do usuário rooteado.

8. Resposta a incidente

Se a gente detectar ou for informado de um incidente afetando dados de merchant ou integridade do serviço:

• Merchants afetados notificados por email em até 24 horas da confirmação.
• Página de status atualizada em tempo real em status.peptide-pay.com.
• Onde o art. 33 do GDPR se aplica, a DPA relevante é notificada em até 72 horas.
• Post-mortem público em até 14 dias, incluindo root cause, timeline e remediação concreta.
• Sem esconder. Sem eufemismo de "manutenção de rotina". A gente chama incidente de incidente.

9. O que a gente NÃO afirma

Honestidade acima de teatro de marketing:

• Sem report SOC 2 ainda. Na roadmap pra 2027 quando o volume justificar o custo da auditoria.
• Sem certificação ISO 27001 ainda. Mesma razão.
• Sem escopo PCI DSS — a gente intencionalmente nunca toca em dado de cartão, então PCI não se aplica à nossa stack. Se aplica à Moonpay.
• Sem SOC 24/7 — rotação de on-call com paging, mas a gente não é banco tier-1 e não finge ser.
• Se qualquer um dos itens acima for requisito duro pro seu programa de compliance, a gente provavelmente não é o processador certo pra você ainda.

10. Contato

Reports de segurança: security@peptide-pay.com. Fingerprint PGP publicado em /.well-known/security.txt.