Güvenlik

Son güncelleme: 2026-04-21

Ödeme altyapısı güvenlik duruşuyla yaşar ve ölür. İşte tam olarak ne yaptığımız, ne yapmadığımız ve henüz elimizde olmadığını numara yapmayacağımız şeyler.

1. Tasarımdan non-custodial

Sunabildiğimiz en güçlü güvenlik garantisi mimari: merchant parasını tutmuyoruz. Asla. Bir müşteri kartla ödediğinde, on-ramp fiat'ı USDC'ye çevirir ve on-chain splitter'ımız aynı işlemde atomik olarak Polygon wallet'ına route eder. Sunucularımız bir event görür, bakiye değil. Sıcak cüzdan yok, havuzlanmış hazine yok, omnibus hesap yok — yani saldırganın girebileceği honeypot yok. Peptide-Pay yarın kaybolsa, geçmiş ödemelerin hâlâ wallet'ında on-chain olurdu.

2. Altyapı

• Hosting: Vercel, global edge network ve DDoS korumasıyla.
• State store: Upstash Redis, transit'te TLS ve rest'te AES-256.
• Settlement: Polygon mainnet, on-chain doğrulanmış — chain'in kendi güvenlik varsayımları.
• DNS & CDN: HSTS preload, CA pinning CAA kayıtları, DNSSEC etkin ile sertleştirildi.
• Secret'lar: Vercel'in encrypted env store'unda saklanır; çalışan ayrılışında rotate edilir.

3. Authentication

• Sadece magic link — şifre yok, phish edilecek bir şey yok, breach'ten yeniden kullanılacak bir şey yok.
• Magic link'ler tek kullanımlık ve 15 dakikada süresi dolar.
• Dashboard session'ları kısa ömürlü (7 gün) ve giriş yapan browser'a bağlı.
• Session cookie'leri HTTP-only, Secure, SameSite=Lax.
• Şüpheli girişler (yeni ülke, yeni ASN) email alert tetikler ve herhangi bir aktif session'dan revoke edilebilir.

4. Webhook'lar

• Her webhook hesap secret'ınla HMAC-SHA256 ile imzalanır; payload'a güvenmeden önce doğrula.
• İmza header'ı timestamp içerir; replay'i önlemek için 5 dakikadan eskisini reddet.
• Exponential backoff (30sn, 2dk, 10dk, 30dk, 1s, 3s, 12s, 24s) ile retry kuyruğu, sonra drop.
• Drop edilen webhook'lar dashboard'dan 30 gün boyunca replay edilebilir kalır.
• Firewall'da allowlist yapabilmen için mevcut IP egress aralığını yayınlıyoruz.

5. API key'ler

• Key'ler bir kez gösterilir, server-side hash'li (bcrypt) saklanır; senin için geri alamayız.
• /app/settings'ten istediğin zaman rotate edilebilir — eski ve yeni key'ler downtime olmadan deploy yapabilmen için 24 saat paralel çalışır.
• Scoped key'ler 2026 Q3 için planlandı; şimdilik key'ler full-access.
• Key başına rate-limit: 100 req/sn soft, 1000/sn hard.

6. Şifreleme

• Transit'te: her endpoint'te TLS 1.3; TLS 1.2 sadece legacy webhook tüketiciler için izinli ve deprecation için flag'lendi.
• Rest'te: Upstash Redis ve Vercel blob storage'da AES-256.
• Müşteri email'leri sunucu log'larına gitmeden önce hash'lenir (merchant başına salt ile SHA-256); sadece merchant dashboard clear olarak render eder.

7. Responsible disclosure & bug bounty

Bir vulnerability bulursan, PoC ile security@peptide-pay.com'a email at. PGP key'imiz /.well-known/security.txt'de. Şunları taahhüt ediyoruz:

• Raporunu 24 saat içinde acknowledge et.
• 72 saat içinde triage ve confirm et.
• Public disclosure'dan önce 90 gün fix penceresi, anlaşmayla uzatılabilir.
• Anonimlik tercih etmezsen security advisory'de kredi verilir.
• Bounty aralığı: USD 100 - USD 5,000, Polygon'da USDC olarak ödenir, ciddiyete (CVSS 3.1) göre ölçeklenir.
• Kapsam dışı: social engineering, fiziksel saldırılar, DoS ve rootlu kullanıcı cihazı gerektiren her şey.

8. Incident response

Merchant verisini veya servis bütünlüğünü etkileyen bir incident tespit edersek veya bildirilirse:

• Etkilenen merchant'lar onaydan sonra 24 saat içinde email ile bilgilendirilir.
• Durum sayfası status.peptide-pay.com'da gerçek zamanlı güncellenir.
• GDPR md. 33 uygulandığı yerde, ilgili DPA 72 saat içinde bilgilendirilir.
• 14 gün içinde public post-mortem, root cause, timeline ve somut çözüm dahil.
• Hush yok. "Rutin bakım" örtmecesi yok. Incident'lara incident deriz.

9. İddia ETMEDİĞİMİZ şeyler

Marketing tiyatrosu yerine dürüstlük:

• Henüz SOC 2 raporu yok. Hacim audit maliyetini haklı kılana kadar 2027 roadmap'inde.
• Henüz ISO 27001 sertifikası yok. Aynı sebep.
• PCI DSS kapsamı yok — kart verisine kasıtlı olarak asla dokunmuyoruz, yani PCI stack'imize uygulanmaz. Moonpay'e uygulanır.
• 7/24 SOC yok — paging ile on-call rotation var, ama tier-1 banka değiliz ve öyleymiş gibi davranmıyoruz.
• Yukarıdakilerden herhangi biri compliance programın için zorunluysa, muhtemelen henüz senin için doğru processor değiliz.

10. İletişim

Güvenlik raporları: security@peptide-pay.com. PGP fingerprint /.well-known/security.txt'de yayınlandı.