認證
- SOC 2 Type II —— 每年接受稽核。
- PCI DSS Level 1 —— 卡片資料合規的最高等級。
- FDIC 保險之銀行合作夥伴 —— 餘額保存在受保的美國機構。
資料保護
- 每個請求都必須使用 TLS 1.2+;較舊版本在負載平衡器會被拒絕。
- 靜態資料以 AES-256 加密。
- PAN、CVV 與 PIN 不會出現在你的日誌中——它們只能透過符合 PCI 規範的小工具存取。
- 祕密金鑰自動輪替;你可在儀表板隨時輪替 API 金鑰與 OAuth 祕密。
詐欺監控
- 24/7 詐欺營運團隊即時監控交易。
- 每次授權皆進行以機器學習為基礎的評分。
- 自動速率檢查;你可透過儀表板新增自訂規則。
- 可選的人工審查暫停以因應高風險流程。
你的責任
- 切勿將
clientSecret值送至用戶端。 在你的伺服器上鑄造 Mint 存取權杖。 - 在信任負載前驗證 webhook 簽章。 參見設定 App Widget以設定 webhook URL。
- 將權杖的範圍縮小。 只請求你實際使用的 scopes——需要更廣存取時再鑄造新權杖。
- 持久化你自己的作業 ID,以便重試能在去重之下安全落地(見冪等性)。
- 輪替應用程式祕密,於員工異動時以及任何疑似外洩後執行。
回報弱點
請寄信至humans@fluz.app 並提供重現步驟。我們會在一個工作天內回覆,並與通報者協調揭露時程。