guide

Sécurité

QuantaPay est conçu avec la sécurité comme principe fondamental. Cette page explique notre modèle de sécurité et les meilleures pratiques pour les marchands.

Mis à jour: 09/03/2026

QuantaPay est conçu avec la sécurité comme principe fondamental. Cette page explique notre modèle de sécurité et les meilleures pratiques pour les marchands.

Modèle non custodial

QuantaPay estentièrement non custodial.Cela signifie :

  • Nous ne détenons jamais vos fonds.Les paiements vont directement du wallet du client à l'adresse de votre wallet.
  • Nous n'avons jamais accès à vos clés privées.Vous gardez le contrôle total de vos wallets.
  • Pas de processus de retrait.Les fonds sont dans votre wallet dès qu'ils sont confirmés sur la blockchain.

Comment ça marche

  1. Vous configurez les adresses de vos wallets dans les paramètres de QuantaPay.
  2. Lorsqu'un client paie, QuantaPay lui montre l'adresse de votre wallet et le montant requis.
  3. Le client envoie la crypto-monnaie directement à votre wallet.
  4. QuantaPay surveille la blockchain pour la transaction et la confirme.
  5. QuantaPay vous notifie via webhook lorsque le paiement est confirmé.

À aucun moment, QuantaPay n'a la garde de vos fonds ni n'y a accès.

Protection contre les faux tokens

QuantaPay inclut une protection intégrée contre les attaques de faux tokens :

  • Vérification de l'adresse du contrat: Pour les tokens ERC-20 et BEP-20, QuantaPay vérifie l'adresse du contrat intelligent du token pour s'assurer qu'elle correspond au token attendu.
  • Vérification du montant: Les montants des transactions sont vérifiés par rapport au montant de paiement attendu.
  • Confirmation de la blockchain: Les paiements doivent atteindre le nombre configuré de confirmations de la blockchain avant d'être marqués comme terminés.

Qu'est-ce qu'une attaque de faux tokens ?

Les attaquants peuvent créer des tokens avec le même nom (par exemple, "USDT") mais une adresse de contrat différente. Si un système de paiement vérifie uniquement le nom du token et non l'adresse du contrat, il pourrait accepter des tokens sans valeur comme paiement. QuantaPay vérifie l'adresse réelle du contrat pour éviter cela.

Sécurité de l'API

Authentification par clé API

Toutes les requêtes API nécessitent votre clé API. Gardez-la confidentielle :

  • Ne l'exposez jamais dans le JavaScript côté client
  • Ne l'intégrez pas dans des référentiels publics
  • Faites-la tourner si elle est compromise (Paramètres → Compte)

Vérification de la signature HMAC

Pour la création de sessions de paiement, vous pouvez ajouter des signatures HMAC-SHA256 pour empêcher la falsification des requêtes :

  • Les signatures utilisent votre clé secrète de Webhook
  • Les horodatages empêchent les attaques de relecture (fenêtre de 5 minutes)

Vérification du webhook

Les webhooks entrants incluent votre clé secrète de Webhook dans la payload. Vérifiez toujours que cela correspond à votre secret stocké avant de traiter.

Bonnes pratiques pour les commerçants

1. Utilisez HTTPS partout

  • Votre endpoint de webhook doit utiliser HTTPS
  • Votre site web doit utiliser HTTPS pour l'intégration des formulaires de paiement

2. Sécurisez vos clés API

  • Stockez les clés API dans des variables d'environnement, pas dans le code
  • Utilisez du code côté serveur pour les appels API, jamais côté client
  • Faites tourner les clés périodiquement

3. Vérifiez les webhooks

  • Vérifiez toujours le champkeydans les payloads de webhook
  • Implémentez des gestionnaires de webhook idempotents (empêchez le double traitement)
  • Enregistrez tous les webhooks entrants pour les pistes d'audit

4. Utilisez les confirmations appropriées

  • Pour les transactions de faible valeur (inférieures à 50 $) : 1 à 3 confirmations
  • Pour les valeurs moyennes (50 $ à 500 $) : 3 à 6 confirmations
  • Pour les valeurs élevées (supérieures à 500 $) : 6 confirmations ou plus, ou activez l'augmentation de la confirmation de valeur élevée

5. Surveillez votre tableau de bord

  • Consultez régulièrement la page Transactions
  • Activez les notifications par e-mail pour les événements clés
  • Examinez les transactions sous-payées et expirées

6. Gardez le logiciel à jour

  • Mettez à jour le plugin WordPress lorsque de nouvelles versions sont disponibles
  • Surveillez le journal des modifications pour les correctifs de sécurité

Confidentialité des données

  • QuantaPay ne stocke que les données nécessaires au traitement des transactions.
  • Les adresses de portefeuille des clients sont visibles sur la blockchain publique.
  • Aucune donnée financière personnelle (comptes bancaires, cartes de crédit) n'est collectée.
  • Les données de transaction sont conservées à des fins de rapprochement.
Suivant → Foire aux questions