Güvenlik

Son güncelleme: 2026-04-21

Ödeme altyapısı güvenlik duruşuyla yaşar ve ölür. İşte tam olarak ne yaptığımız, ne yapmadığımız ve henüz elimizde olmadığını numara yapmayacağımız şeyler.

1. Tasarımdan non-custodial

Sunabildiğimiz en güçlü güvenlik garantisi mimari: merchant parasını tutmuyoruz. Asla. Bir müşteri kartla ödediğinde, on-ramp fiat'ı USDC'ye çevirir ve on-chain splitter'ımız aynı işlemde atomik olarak Polygon wallet'ına route eder. Sunucularımız bir event görür, bakiye değil. Sıcak cüzdan yok, havuzlanmış hazine yok, omnibus hesap yok — yani saldırganın girebileceği honeypot yok. Peptide-Pay yarın kaybolsa, geçmiş ödemelerin hâlâ wallet'ında on-chain olurdu.

2. Altyapı

  • Hosting: Vercel, global edge network ve DDoS korumasıyla.
  • State store: Upstash Redis, transit'te TLS ve rest'te AES-256.
  • Settlement: Polygon mainnet, on-chain doğrulanmış — chain'in kendi güvenlik varsayımları.
  • DNS & CDN: HSTS preload, CA pinning CAA kayıtları, DNSSEC etkin ile sertleştirildi.
  • Secret'lar: Vercel'in encrypted env store'unda saklanır; çalışan ayrılışında rotate edilir.

3. Authentication

  • Sadece magic link — şifre yok, phish edilecek bir şey yok, breach'ten yeniden kullanılacak bir şey yok.
  • Magic link'ler tek kullanımlık ve 15 dakikada süresi dolar.
  • Dashboard session'ları kısa ömürlü (7 gün) ve giriş yapan browser'a bağlı.
  • Session cookie'leri HTTP-only, Secure, SameSite=Lax.
  • Şüpheli girişler (yeni ülke, yeni ASN) email alert tetikler ve herhangi bir aktif session'dan revoke edilebilir.

4. Webhook'lar

  • Her webhook hesap secret'ınla HMAC-SHA256 ile imzalanır; payload'a güvenmeden önce doğrula.
  • İmza header'ı timestamp içerir; replay'i önlemek için 5 dakikadan eskisini reddet.
  • Exponential backoff (30sn, 2dk, 10dk, 30dk, 1s, 3s, 12s, 24s) ile retry kuyruğu, sonra drop.
  • Drop edilen webhook'lar dashboard'dan 30 gün boyunca replay edilebilir kalır.
  • Firewall'da allowlist yapabilmen için mevcut IP egress aralığını yayınlıyoruz.

5. API key'ler

  • Key'ler bir kez gösterilir, server-side hash'li (bcrypt) saklanır; senin için geri alamayız.
  • /app/settings'ten istediğin zaman rotate edilebilir — eski ve yeni key'ler downtime olmadan deploy yapabilmen için 24 saat paralel çalışır.
  • Scoped key'ler 2026 Q3 için planlandı; şimdilik key'ler full-access.
  • Key başına rate-limit: 100 req/sn soft, 1000/sn hard.

6. Şifreleme

  • Transit'te: her endpoint'te TLS 1.3; TLS 1.2 sadece legacy webhook tüketiciler için izinli ve deprecation için flag'lendi.
  • Rest'te: Upstash Redis ve Vercel blob storage'da AES-256.
  • Müşteri email'leri sunucu log'larına gitmeden önce hash'lenir (merchant başına salt ile SHA-256); sadece merchant dashboard clear olarak render eder.

7. Responsible disclosure & bug bounty

Bir vulnerability bulursan, PoC ile security@peptide-pay.com'a email at. PGP key'imiz /.well-known/security.txt'de. Şunları taahhüt ediyoruz:

  • Raporunu 24 saat içinde acknowledge et.
  • 72 saat içinde triage ve confirm et.
  • Public disclosure'dan önce 90 gün fix penceresi, anlaşmayla uzatılabilir.
  • Anonimlik tercih etmezsen security advisory'de kredi verilir.
  • Bounty aralığı: USD 100 - USD 5,000, Polygon'da USDC olarak ödenir, ciddiyete (CVSS 3.1) göre ölçeklenir.
  • Kapsam dışı: social engineering, fiziksel saldırılar, DoS ve rootlu kullanıcı cihazı gerektiren her şey.

8. Incident response

Merchant verisini veya servis bütünlüğünü etkileyen bir incident tespit edersek veya bildirilirse:

  • Etkilenen merchant'lar onaydan sonra 24 saat içinde email ile bilgilendirilir.
  • Durum sayfası status.peptide-pay.com'da gerçek zamanlı güncellenir.
  • GDPR md. 33 uygulandığı yerde, ilgili DPA 72 saat içinde bilgilendirilir.
  • 14 gün içinde public post-mortem, root cause, timeline ve somut çözüm dahil.
  • Hush yok. "Rutin bakım" örtmecesi yok. Incident'lara incident deriz.

9. İddia ETMEDİĞİMİZ şeyler

Marketing tiyatrosu yerine dürüstlük:

  • Henüz SOC 2 raporu yok. Hacim audit maliyetini haklı kılana kadar 2027 roadmap'inde.
  • Henüz ISO 27001 sertifikası yok. Aynı sebep.
  • PCI DSS kapsamı yok — kart verisine kasıtlı olarak asla dokunmuyoruz, yani PCI stack'imize uygulanmaz. Moonpay'e uygulanır.
  • 7/24 SOC yok — paging ile on-call rotation var, ama tier-1 banka değiliz ve öyleymiş gibi davranmıyoruz.
  • Yukarıdakilerden herhangi biri compliance programın için zorunluysa, muhtemelen henüz senin için doğru processor değiliz.

10. İletişim

Güvenlik raporları: security@peptide-pay.com. PGP fingerprint /.well-known/security.txt'de yayınlandı.