guide

Seguridad

QuantaPay se ha diseñado teniendo la seguridad como principio fundamental. En esta página se explica nuestro modelo de seguridad y las mejores prácticas para los comerciantes.

Actualizado: 9/3/2026

QuantaPay se ha diseñado teniendo la seguridad como principio fundamental. Esta página explica nuestro modelo de seguridad y las mejores prácticas para los comerciantes.

Modelo sin custodia

QuantaPay estotalmente sin custodia. Esto significa:

  • Nunca custodiamos tus fondos.Los pagos van directamente desde la billetera del cliente a la dirección de tu billetera.
  • Nunca tenemos acceso a tus claves privadas.Mantienes el control total de tus billeteras.
  • No hay proceso de retiro.Los fondos están en tu billetera tan pronto como se confirman en la blockchain.

Cómo funciona

  1. Configuras las direcciones de tus billeteras en la configuración de QuantaPay.
  2. Cuando un cliente paga, QuantaPay le muestra la dirección de tu billetera y el importe requerido.
  3. El cliente envía criptomonedas directamente a tu billetera.
  4. QuantaPay supervisa la blockchain para la transacción y la confirma.
  5. QuantaPay te notifica a través de un webhook cuando se confirma el pago.

En ningún momento QuantaPay tiene la custodia ni el acceso a tus fondos.

Protección contra tokens falsos

QuantaPay incluye protección integrada contra ataques de tokens falsos:

  • Verificación de la dirección del contrato: Para los tokens ERC-20 y BEP-20, QuantaPay verifica la dirección del contrato inteligente del token para asegurarse de que coincida con el token esperado.
  • Verificación del importe: Los importes de las transacciones se verifican con el importe de pago esperado.
  • Confirmación en la blockchain: Los pagos deben alcanzar el número configurado de confirmaciones en la blockchain antes de marcarse como completos.

¿Qué es un ataque de token falso?

Los atacantes pueden crear tokens con el mismo nombre (por ejemplo, "USDT") pero con una dirección de contrato diferente. Si un sistema de pago solo comprueba el nombre del token y no la dirección del contrato, podría aceptar tokens sin valor como pago. QuantaPay verifica la dirección del contrato real para evitar esto.

Seguridad de la API

Autenticación con clave API

Todas las solicitudes a la API requieren tu clave API. Mantenla confidencial:

  • Nunca la expongas en JavaScript del lado del cliente
  • No la subas a repositorios públicos
  • Rótala si se ve comprometida (Configuración → Cuenta)

Verificación de la firma HMAC

Para la creación de sesiones de pago, puedes añadir firmas HMAC-SHA256 para evitar la manipulación de las solicitudes:

  • Las firmas utilizan tu clave secreta de webhook
  • Las marcas de tiempo evitan los ataques de repetición (ventana de 5 minutos)

Verificación de Webhook

Los webhooks entrantes incluyen tu clave secreta de webhook en la carga útil. Verifica siempre que coincida con tu secreto almacenado antes de procesarlos.

Mejores prácticas para comerciantes

1. Utilice HTTPS en todas partes

  • Su endpoint de webhook debe usar HTTPS
  • Su sitio web debe usar HTTPS para insertar formularios de pago

2. Proteja sus claves API

  • Almacene las claves API en variables de entorno, no en el código
  • Utilice código del lado del servidor para las llamadas API, nunca del lado del cliente
  • Rote las claves periódicamente

3. Verifique los webhooks

  • Siempre verifique el campokeyen las cargas útiles del webhook
  • Implemente controladores de webhook idempotentes (evite el doble procesamiento)
  • Registre todos los webhooks entrantes para los registros de auditoría

4. Utilice las confirmaciones adecuadas

  • Para transacciones de bajo valor (menos de 50 USD): de 1 a 3 confirmaciones
  • Para valor medio (de 50 a 500 USD): de 3 a 6 confirmaciones
  • Para valor alto (más de 500 USD): más de 6 confirmaciones, o habilite el aumento de confirmación de alto valor

5. Supervise su panel de control

  • Consulte la página de transacciones con regularidad
  • Habilite las notificaciones por correo electrónico para eventos clave
  • Revise las transacciones con pagos insuficientes y las transacciones vencidas

6. Mantenga el software actualizado

  • Actualice el plugin de WordPress cuando haya nuevas versiones disponibles
  • Supervise el registro de cambios para las correcciones de seguridad

Privacidad de datos

  • QuantaPay solo almacena los datos necesarios para el procesamiento de transacciones.
  • Las direcciones de las billeteras de los clientes son visibles en la blockchain pública.
  • No se recopilan datos financieros personales (cuentas bancarias, tarjetas de crédito).
  • Los datos de las transacciones se conservan con fines de conciliación.
Siguiente → Preguntas Frecuentes