安全

身份验证

每次登录使用密码加第二因素。所有 owner/admin 角色必须使用 WebAuthn passkey(硬件或平台)。会话存储在数据库中,可单独撤销。

Step-up 身份验证

敏感操作(轮换 webhook 密钥、提现、注册新 passkey)将触发额外的 WebAuthn 挑战。任何关键操作都必须有硬件确认。

加密

全程 TLS 1.3。静态数据使用 AES-256-GCM 加密。密钥存储在我们裸金属堆栈上的 HashiCorp Vault 中。每季度轮换,每年审计。

签名 Webhook

对原始请求体使用 HMAC-SHA256。防重放时间戳。一键密钥轮换,带 24 小时宽限期。指数重试(24 小时内 5 次),后台可查看死信队列。

基础设施

法国裸金属(HostMyServers,鲁贝)。BGP anycast 10 Gbit/s,L3/L4/L7 DDoS 防护。Tier IV 数据中心,7×24 NOC。无美国云服务,无 AWS,无 GCP。零外国依赖。

漏洞赏金计划

我们奖励负责任的漏洞披露。范围、规则与赏金:/security/bug-bounty。Critical = 最高 10,000 €。

审计

• 年度外部渗透测试(Synacktiv)。
• SOC 2 Type II — 2026 年 Q4 审计。
• Halborn 审计 — gRPC 运行时适配器。