Saltar al contenido principal
Fluz está diseñado para mantenerte fuera de alcance respecto a las partes de la infraestructura financiera que son más difíciles de hacer bien.

Certificaciones

  • SOC 2 Tipo II — auditado anualmente.
  • PCI DSS Nivel 1 — el nivel más alto de cumplimiento para datos de tarjetas.
  • Socios bancarios asegurados por la FDIC — los saldos se mantienen en instituciones estadounidenses aseguradas.

Protección de datos

  • TLS 1.2+ requerido para cada solicitud; versiones anteriores rechazadas en el balanceador de carga.
  • Datos cifrados en reposo con AES-256.
  • Los PAN, CVV y PIN nunca aparecen en tus registros: solo son accesibles a través de widgets compatibles con PCI.
  • Secretos rotados automáticamente; las claves de API y secretos de OAuth se pueden rotar bajo demanda desde el panel.

Monitoreo de fraude

  • Equipo de operaciones antifraude 24/7 monitoreando transacciones en tiempo real.
  • Puntuación basada en ML en cada autorización.
  • Controles automáticos de velocidad; puedes agregar tus propias reglas desde el panel.
  • Retenciones opcionales para revisión manual en flujos de alto riesgo.

Tus responsabilidades

  1. Nunca envíes valores de clientSecret a un cliente. Genera tokens de acceso de Mint en tu servidor.
  2. Verifica las firmas de los webhooks antes de confiar en un payload. Consulta Configurar App Widget para la configuración de la URL del webhook.
  3. Limita el alcance de los tokens. Solicita únicamente los alcances que realmente uses: genera un token nuevo cuando necesites un acceso más amplio.
  4. Persiste tus propios IDs de operación para que los reintentos caigan de forma segura bajo desduplicación (ver Idempotencia).
  5. Rota los secretos de la aplicación ante la rotación de personal y después de cualquier exposición sospechosa.

Reportar una vulnerabilidad

Envía un correo a humans@fluz.app con los pasos de reproducción. Acusamos recibo dentro de un día hábil y coordinamos los plazos de divulgación con los reporteros.