认证
- SOC 2 Type II — 每年审计。
- PCI DSS 一级 — 卡数据合规的最高等级。
- FDIC 保险的银行合作伙伴 — 余额保存在受保险保障的美国机构。
数据保护
- 每个请求都要求 TLS 1.2+;旧版本会在负载均衡器处被拒绝。
- 数据静态加密使用 AES-256。
- PAN、CVV 和 PIN 不会出现在你的日志中——它们只能通过符合 PCI 的小部件访问。
- 机密自动轮换;可在仪表板按需轮换 API 密钥和 OAuth 机密。
欺诈监控
- 7x24 小时的欺诈运营团队实时监控交易。
- 每笔授权都进行基于机器学习的评分。
- 自动速度检查;你可以通过仪表板添加自己的规则。
- 可选的手动审核保留以应对高风险流程。
你的责任
- 绝不要将
clientSecret值下发到客户端。 在你的服务器上铸造 Mint 访问令牌。 - 在信任负载之前验证 webhook 签名。 参见配置 App 小部件以设置 webhook URL。
- 尽量缩小令牌的作用域。 只请求你实际使用的 scopes——当需要更广泛的访问时再铸造新令牌。
- 持久化你自己的操作 ID,以便重试能在去重之下安全落地(参见幂等性)。
- 轮换应用机密,在员工流动时以及任何怀疑泄露之后。
漏洞报告
发送包含复现步骤的邮件至humans@fluz.app。我们会在一个工作日内确认,并与报告者协作披露时间表。