> ## Documentation Index
> Fetch the complete documentation index at: https://docs.fluz.app/llms.txt
> Use this file to discover all available pages before exploring further.

# 安全性與合規

> Fluz 如何保護資金、客戶資料與卡片憑證——以及這對你的整合意味著什麼。

Fluz 的設計讓你免於承擔那些最難正確處理的金融基礎設施範疇。

## 認證

* **SOC 2 Type II** —— 每年接受稽核。
* **PCI DSS Level 1** —— 卡片資料合規的最高等級。
* **FDIC 保險之銀行合作夥伴** —— 餘額保存在受保的美國機構。

## 資料保護

* 每個請求都必須使用 TLS 1.2+；較舊版本在負載平衡器會被拒絕。
* 靜態資料以 AES-256 加密。
* PAN、CVV 與 PIN 不會出現在你的日誌中——它們只能透過符合 PCI 規範的[小工具](/developers/widgets)存取。
* 祕密金鑰自動輪替；你可在儀表板隨時輪替 API 金鑰與 OAuth 祕密。

## 詐欺監控

* 24/7 詐欺營運團隊即時監控交易。
* 每次授權皆進行以機器學習為基礎的評分。
* 自動速率檢查；你可透過儀表板新增自訂規則。
* 可選的人工審查暫停以因應高風險流程。

## 你的責任

1. **切勿將 `clientSecret` 值送至用戶端。** 在你的伺服器上鑄造 Mint 存取權杖。
2. **在信任負載前驗證 webhook 簽章。** 參見[設定 App Widget](/developers/configure-app-widget)以設定 webhook URL。
3. **將權杖的範圍縮小。** 只請求你實際使用的 scopes——需要更廣存取時再鑄造新權杖。
4. **持久化你自己的作業 ID**，以便重試能在去重之下安全落地（見[冪等性](/concepts/idempotency)）。
5. **輪替應用程式祕密**，於員工異動時以及任何疑似外洩後執行。

## 回報弱點

請寄信至 `humans@fluz.app` 並提供重現步驟。我們會在一個工作天內回覆，並與通報者協調揭露時程。
