Un resumen claro de los controles vigentes. Para una revisión más profunda, contacta al equipo.
Todo el tráfico hacia TriaPay se sirve sobre TLS con HSTS preloaded. Las solicitudes HTTP planas se redirigen, nunca se aceptan. TLS 1.3 es soportado junto con TLS 1.0–1.2; las suites de cifrado modernas son obligatorias y los cifrados débiles están deshabilitados.
Los secrets de los inquilinos, API keys y credenciales de exchange se almacenan cifrados con una clave fuera de la base de datos. Un dump de base de datos por sí solo no revela material secreto.
Las contraseñas se hashean con una función memory-hard ajustada a las recomendaciones OWASP. La autenticación de dos factores con apps authenticator y códigos de respaldo de un solo uso está disponible en cada cuenta.
Cada evento de autenticación, rotación de credenciales, crédito, reembolso y acción de admin se registra con timestamp, actor, dirección IP y payload de detalle. Los registros se conservan 180 días y son consultables desde el panel.
TriaPay observa la cadena y dispara el crediter de saldos en tu DHRU. Los fondos liquidan directamente a direcciones que tú controlas. Nunca custodiamos fondos de clientes.
Los runbooks operacionales y procedimientos de respuesta a incidentes se mantienen internamente y se revisan regularmente.
