guide

Безопасность

QuantaPay разрабатывался с учетом безопасности как основополагающего принципа. На этой странице описана наша модель безопасности и лучшие практики для продавцов.

Обновлено: 09.03.2026

QuantaPay разработан с учетом безопасности как основного принципа. На этой странице описана наша модель безопасности и рекомендации для продавцов.

Non-Custodial модель

QuantaPay являетсяполностью non-custodial. Это означает:

  • Мы никогда не храним ваши средства.Платежи поступают напрямую из кошелька клиента на адрес вашего кошелька.
  • У нас никогда нет доступа к вашим приватным ключам.Вы сохраняете полный контроль над своими кошельками.
  • Отсутствует процесс вывода средств.Средства находятся в вашем кошельке, как только они подтверждены в блокчейне.

Как это работает

  1. Вы настраиваете адреса своих кошельков в настройках QuantaPay.
  2. Когда клиент платит, QuantaPay показывает ему адрес вашего кошелька и необходимую сумму.
  3. Клиент отправляет криптовалюту непосредственно на ваш кошелек.
  4. QuantaPay отслеживает транзакцию в блокчейне и подтверждает ее.
  5. QuantaPay уведомляет вас через webhook, когда платеж подтвержден.

QuantaPay ни в какой момент времени не владеет вашими средствами и не имеет к ним доступа.

Защита от поддельных токенов

QuantaPay включает встроенную защиту от атак с использованием поддельных токенов:

  • Проверка адреса контракта: Для токенов ERC-20 и BEP-20 QuantaPay проверяет адрес смарт-контракта токена, чтобы убедиться, что он соответствует ожидаемому токену.
  • Проверка суммы: Суммы транзакций проверяются на соответствие ожидаемой сумме платежа.
  • Подтверждение блокчейна: Платежи должны достичь настроенного количества подтверждений блокчейна, прежде чем будут помечены как завершенные.

Что такое атака с использованием поддельных токенов?

Злоумышленники могут создавать токены с тем же именем (например, "USDT"), но с другим адресом контракта. Если платежная система проверяет только имя токена, а не адрес контракта, она может принять бесполезные токены в качестве оплаты. QuantaPay проверяет фактический адрес контракта, чтобы предотвратить это.

Безопасность API

Аутентификация по ключу API

Для всех запросов API требуется ваш ключ API. Храните его в секрете:

  • Никогда не раскрывайте его в клиентском JavaScript
  • Не добавляйте его в публичные репозитории
  • Смените его в случае компрометации (Настройки → Аккаунт)

Проверка подписи HMAC

Для создания сеанса оформления заказа вы можете добавить подписи HMAC-SHA256, чтобы предотвратить несанкционированное изменение запроса:

  • Подписи используют ваш Webhook Secret Key
  • Временные метки предотвращают атаки повторного воспроизведения (5-минутное окно)

Проверка Webhook

Входящие вебхуки включают ваш Webhook Secret Key в полезную нагрузку. Всегда проверяйте, соответствует ли он вашему сохраненному секрету, прежде чем обрабатывать.

Рекомендации для продавцов

1. Используйте HTTPS повсеместно

  • Ваш webhook endpoint должен использовать HTTPS
  • Ваш веб-сайт должен использовать HTTPS для встраивания платежных форм

2. Защитите свои API ключи

  • Храните API ключи в переменных окружения, а не в коде
  • Используйте серверный код для вызовов API, никогда не используйте клиентский код
  • Периодически обновляйте ключи

3. Проверяйте Webhooks

  • Всегда проверяйте полеkeyв полезной нагрузке webhook
  • Реализуйте идемпотентные обработчики webhook (предотвратите двойную обработку)
  • Регистрируйте все входящие webhooks для аудита

4. Используйте соответствующие подтверждения

  • Для транзакций с низкой стоимостью (менее 50 долларов США): 1-3 подтверждения
  • Для транзакций со средней стоимостью (50-500 долларов США): 3-6 подтверждений
  • Для транзакций с высокой стоимостью (более 500 долларов США): 6+ подтверждений или включите увеличение подтверждений для транзакций с высокой стоимостью

5. Отслеживайте свою панель управления

  • Регулярно проверяйте страницу транзакций
  • Включите уведомления по электронной почте о ключевых событиях
  • Просматривайте недоплаченные и просроченные транзакции

6. Поддерживайте актуальность программного обеспечения

  • Обновляйте плагин WordPress, когда доступны новые версии
  • Следите за журналом изменений для получения информации об исправлениях безопасности

Конфиденциальность данных

  • QuantaPay хранит только данные, необходимые для обработки транзакций.
  • Адреса кошельков клиентов видны в публичном blockchain.
  • Никакие личные финансовые данные (банковские счета, кредитные карты) не собираются.
  • Данные транзакций сохраняются для целей сверки.
Вперед → Часто задаваемые вопросы