guide

الأمان

تم تصميم QuantaPay مع وضع الأمن في صميم مبادئها. تشرح هذه الصفحة نموذجنا الأمني وأفضل الممارسات للتجار.

محدث: 9‏/3‏/2026

تم تصميم QuantaPay مع وضع الأمن كمبدأ أساسي. تشرح هذه الصفحة نموذجنا الأمني وأفضل الممارسات للتجار.

نموذج غير احتجازي

QuantaPay هوغير احتجازي بالكامل. هذا يعني:

  • نحن لا نحتفظ بأموالك أبدًا.المدفوعات تذهب مباشرة من محفظة العميل إلى عنوان محفظتك.
  • ليس لدينا أبدًا حق الوصول إلى مفاتيحك الخاصة.أنت تحتفظ بالسيطرة الكاملة على محافظك.
  • لا توجد عملية سحب.الأموال موجودة في محفظتك بمجرد تأكيدها على البلوك تشين.

كيف يعمل

  1. يمكنك تكوين عناوين محفظتك في إعدادات QuantaPay.
  2. عندما يدفع العميل، يعرض QuantaPay له عنوان محفظتك والمبلغ المطلوب.
  3. يرسل العميل العملة المشفرة مباشرة إلى محفظتك.
  4. يراقب QuantaPay البلوك تشين للمعاملة ويؤكدها.
  5. يخطرك QuantaPay عبر webhook عند تأكيد الدفع.

في أي وقت من الأوقات، لا يحتفظ QuantaPay بأموالك أو يصل إليها.

حماية الرمز المميز المزيف

يتضمن QuantaPay حماية مدمجة ضد هجمات الرموز المزيفة:

  • التحقق من عنوان العقد: بالنسبة لرموز ERC-20 و BEP-20، يتحقق QuantaPay من عنوان العقد الذكي للرمز المميز للتأكد من مطابقته للرمز المميز المتوقع.
  • التحقق من المبلغ: يتم التحقق من مبالغ المعاملات مقابل مبلغ الدفع المتوقع.
  • تأكيد البلوك تشين: يجب أن تصل المدفوعات إلى العدد المحدد من تأكيدات البلوك تشين قبل أن يتم وضع علامة عليها كمكتملة.

ما هي هجمة الرمز المميز المزيف؟

قد يقوم المهاجمون بإنشاء رموز مميزة بنفس الاسم (على سبيل المثال، "USDT") ولكن بعنوان عقد مختلف. إذا كان نظام الدفع يتحقق فقط من اسم الرمز المميز وليس عنوان العقد، فقد يقبل رموزًا عديمة القيمة كدفعة. يتحقق QuantaPay من عنوان العقد الفعلي لمنع ذلك.

أمان API

مصادقة مفتاح API

تتطلب جميع طلبات API مفتاح API الخاص بك. حافظ على سريته:

  • لا تعرضه أبدًا في JavaScript من جانب العميل
  • لا تقم بإيداعه في المستودعات العامة
  • قم بتدويره إذا تم اختراقه (الإعدادات ← الحساب)

التحقق من توقيع HMAC

لإنشاء جلسة الدفع، يمكنك إضافة توقيعات HMAC-SHA256 لمنع التلاعب بالطلب:

  • تستخدم التوقيعات مفتاح Webhook السري الخاص بك
  • تمنع الطوابع الزمنية هجمات إعادة التشغيل (نافذة مدتها 5 دقائق)

التحقق من Webhook

تتضمن Webhooks الواردة مفتاح Webhook السري الخاص بك في الحمولة. تحقق دائمًا من تطابق ذلك مع السر المخزن قبل المعالجة.

أفضل الممارسات للتجار

1. استخدم HTTPS في كل مكان

  • يجب أن تستخدم نقطة نهاية webhook الخاصة بك HTTPS
  • يجب أن يستخدم موقع الويب الخاص بك HTTPS لتضمين نماذج الدفع

2. قم بتأمين مفاتيح API الخاصة بك

  • قم بتخزين مفاتيح API في متغيرات البيئة، وليس في التعليمات البرمجية
  • استخدم التعليمات البرمجية من جانب الخادم لمكالمات API، وليس من جانب العميل أبدًا
  • قم بتدوير المفاتيح بشكل دوري

3. تحقق من Webhooks

  • تحقق دائمًا من حقلkeyفي حمولات webhook
  • قم بتنفيذ معالجات webhook متكررة (منع المعالجة المزدوجة)
  • سجل جميع webhooks الواردة لتدقيق المسارات

4. استخدم التأكيدات المناسبة

  • للمعاملات منخفضة القيمة (أقل من 50 دولارًا): 1-3 تأكيدات
  • للقيمة المتوسطة (50 دولارًا - 500 دولار): 3-6 تأكيدات
  • للقيمة العالية (أكثر من 500 دولار): 6+ تأكيدات، أو قم بتمكين زيادة التأكيد للقيمة العالية

5. راقب لوحة التحكم الخاصة بك

  • تحقق من صفحة المعاملات بانتظام
  • قم بتمكين إشعارات البريد الإلكتروني للأحداث الرئيسية
  • راجع المعاملات غير المدفوعة والمعاملات منتهية الصلاحية

6. حافظ على تحديث البرنامج

  • قم بتحديث البرنامج المساعد WordPress عند توفر إصدارات جديدة
  • راقب سجل التغييرات لإصلاحات الأمان

خصوصية البيانات

  • لا يقوم QuantaPay بتخزين سوى البيانات الضرورية لمعالجة المعاملات.
  • عناوين محافظ العملاء مرئية على blockchain العام.
  • لا يتم جمع أي بيانات مالية شخصية (حسابات بنكية، بطاقات ائتمان).
  • يتم الاحتفاظ ببيانات المعاملات لأغراض التسوية.
التالي → الأسئلة الشائعة