跳转到主要内容
Fluz 的构建旨在让你不必涉及那些最难做好且最容易出错的金融基础设施部分。

认证

  • SOC 2 Type II — 每年审计。
  • PCI DSS 一级 — 卡数据合规的最高等级。
  • FDIC 保险的银行合作伙伴 — 余额保存在受保险保障的美国机构。

数据保护

  • 每个请求都要求 TLS 1.2+;旧版本会在负载均衡器处被拒绝。
  • 数据静态加密使用 AES-256。
  • PAN、CVV 和 PIN 不会出现在你的日志中——它们只能通过符合 PCI 的小部件访问。
  • 机密自动轮换;可在仪表板按需轮换 API 密钥和 OAuth 机密。

欺诈监控

  • 7x24 小时的欺诈运营团队实时监控交易。
  • 每笔授权都进行基于机器学习的评分。
  • 自动速度检查;你可以通过仪表板添加自己的规则。
  • 可选的手动审核保留以应对高风险流程。

你的责任

  1. 绝不要将 clientSecret 值下发到客户端。 在你的服务器上铸造 Mint 访问令牌。
  2. 在信任负载之前验证 webhook 签名。 参见配置 App 小部件以设置 webhook URL。
  3. 尽量缩小令牌的作用域。 只请求你实际使用的 scopes——当需要更广泛的访问时再铸造新令牌。
  4. 持久化你自己的操作 ID,以便重试能在去重之下安全落地(参见幂等性)。
  5. 轮换应用机密,在员工流动时以及任何怀疑泄露之后。

漏洞报告

发送包含复现步骤的邮件至 humans@fluz.app。我们会在一个工作日内确认,并与报告者协作披露时间表。