安全

最后更新:2026-04-21

支付基础设施的生死取决于安全姿态。以下就是我们做什么、不做什么,以及我们不会假装已经拥有的东西。

1. 架构上非托管

我们能给的最强安全保证是架构性的:我们不持有商家资金。永远不。当客户刷卡时,法币通道把法币换成 USDC,我们的链上分账器在同一笔交易中原子性地把钱路由到你的 Polygon 钱包。我们的服务器看到的是事件,不是余额。没有热钱包、没有集合资金库、没有 omnibus 账户 —— 所以没有蜜罐给攻击者闯入。如果 Peptide-Pay 明天消失,你过去的付款仍在链上你的钱包里。

2. 基础设施

• 托管: Vercel,全球边缘网络和 DDoS 防护。
• 状态存储: Upstash Redis,传输 TLS,静态 AES-256。
• 结算: Polygon 主网,链上可验证 —— 与链本身相同的安全假设。
• DNS 和 CDN: 用 HSTS preload、CAA 记录固定 CA、启用 DNSSEC 加固。
• 密钥: 存在 Vercel 加密环境变量存储;员工离职时轮换。

3. 认证

• 仅魔法链接 —— 无密码,无可钓鱼,无可从数据泄露中复用。
• 魔法链接一次性使用,15 分钟过期。
• 后台会话短寿(7 天)并绑定登录浏览器。
• 会话 cookie 为 HTTP-only、Secure、SameSite=Lax。
• 可疑登录(新国家、新 ASN)触发邮件告警,可从任意活动会话吊销。

4. Webhooks

• 每个 webhook 用你账户 secret 做 HMAC-SHA256 签名;信任负载前先验证。
• 签名头包含时间戳;拒绝超过 5 分钟的以防重放。
• 指数退避重试队列(30 秒、2 分钟、10 分钟、30 分钟、1 小时、3 小时、12 小时、24 小时)然后丢弃。
• 被丢弃的 webhook 可从后台重放 30 天。
• 我们发布当前出口 IP 网段,你可以在防火墙上允许我们。

5. API 密钥

• 密钥只显示一次,服务端存 hash(bcrypt);我们无法为你找回。
• 随时可从 /app/settings 轮换 —— 新旧密钥并行工作 24 小时,让你无宕机部署。
• 作用域密钥计划 2026 Q3;目前密钥是全权限的。
• 每个密钥限流:100 req/秒 软,1000 req/秒 硬。

6. 加密

• 传输: 每个接口 TLS 1.3;TLS 1.2 仅为遗留 webhook 消费者保留,已标记为废弃。
• 静态: Upstash Redis 和 Vercel blob 存储都用 AES-256。
• 客户邮箱在进入服务器日志前被 hash(SHA-256 加商家级盐);只有商家后台渲染明文。

7. 负责任披露和 bug 赏金

如果你发现漏洞,带 PoC 发邮件到 security@peptide-pay.com。我们的 PGP 密钥在 /.well-known/security.txt。我们承诺:

• 24 小时内确认你的报告。
• 72 小时内分类和确认。
• 公开披露前 90 天修复窗口,可协商延长。
• 在安全公告中鸣谢你,除非你倾向匿名。
• 赏金范围:USD 100 到 USD 5,000,以 Polygon USDC 支付,按严重度缩放(CVSS 3.1)。
• 范围之外:社会工程、物理攻击、DoS,以及任何需要越狱用户设备的。

8. 事件响应

如果我们检测到或被告知一个影响商家数据或服务完整性的事件:

• 受影响商家在确认后24 小时内通过邮件通知。
• 状态页在 status.peptide-pay.com 实时更新。
• 适用 GDPR 第 33 条时,相关 DPA 在 72 小时内得到通知。
• 14 天内公开事后分析,包括根因、时间线和具体整改。
• 不捂盖。不用 "例行维护" 委婉语。事件就叫事件。

9. 我们不声称的东西

诚实胜过市场表演:

• 还没有 SOC 2 报告。 在 2027 路线图上,等流量能覆盖审计成本。
• 还没有 ISO 27001 认证。 同上。
• 不在 PCI DSS 范围内 —— 我们故意从不接触卡数据,所以 PCI 不适用于我们的栈。它适用于 Moonpay。
• 没有 24/7 SOC —— 有排班和呼叫,但我们不是一级银行,也不假装是。
• 如果上面任何一项对你的合规项目是硬性要求,我们可能现在还不是适合你的支付服务商。

10. 联系

安全报告:security@peptide-pay.com。PGP 指纹发布在 /.well-known/security.txt。