Certificaciones
- SOC 2 Tipo II — auditado anualmente.
- PCI DSS Nivel 1 — el nivel más alto de cumplimiento para datos de tarjetas.
- Socios bancarios asegurados por la FDIC — los saldos se mantienen en instituciones estadounidenses aseguradas.
Protección de datos
- TLS 1.2+ requerido para cada solicitud; versiones anteriores rechazadas en el balanceador de carga.
- Datos cifrados en reposo con AES-256.
- Los PAN, CVV y PIN nunca aparecen en tus registros: solo son accesibles a través de widgets compatibles con PCI.
- Secretos rotados automáticamente; las claves de API y secretos de OAuth se pueden rotar bajo demanda desde el panel.
Monitoreo de fraude
- Equipo de operaciones antifraude 24/7 monitoreando transacciones en tiempo real.
- Puntuación basada en ML en cada autorización.
- Controles automáticos de velocidad; puedes agregar tus propias reglas desde el panel.
- Retenciones opcionales para revisión manual en flujos de alto riesgo.
Tus responsabilidades
- Nunca envíes valores de
clientSecreta un cliente. Genera tokens de acceso de Mint en tu servidor. - Verifica las firmas de los webhooks antes de confiar en un payload. Consulta Configurar App Widget para la configuración de la URL del webhook.
- Limita el alcance de los tokens. Solicita únicamente los alcances que realmente uses: genera un token nuevo cuando necesites un acceso más amplio.
- Persiste tus propios IDs de operación para que los reintentos caigan de forma segura bajo desduplicación (ver Idempotencia).
- Rota los secretos de la aplicación ante la rotación de personal y después de cualquier exposición sospechosa.
Reportar una vulnerabilidad
Envía un correo ahumans@fluz.app con los pasos de reproducción. Acusamos recibo dentro de un día hábil y coordinamos los plazos de divulgación con los reporteros.