Um resumo direto dos controles em vigor. Para uma revisão mais profunda, contate o time.
Todo o tráfego ao TriaPay é servido por TLS com HSTS pré-carregado. Requisições HTTP em texto plano são redirecionadas, nunca aceitas. TLS 1.3 é suportado junto com TLS 1.0–1.2; suítes de cifras modernas são obrigatórias e cifras fracas estão desabilitadas.
Segredos do tenant, API keys e credenciais de exchange ficam armazenados criptografados com uma chave mantida fora do banco de dados. Um dump do banco sozinho não revela material secreto.
As senhas usam uma função memory-hard ajustada às diretrizes OWASP. Autenticação de dois fatores via apps authenticator e códigos de backup únicos estão disponíveis em todas as contas.
Cada evento de autenticação, rotação de credencial, crédito, reembolso e ação de admin é gravado com timestamp, ator, endereço IP e payload de detalhe. Logs ficam retidos por 180 dias e são pesquisáveis no painel.
O TriaPay observa a blockchain e dispara o creditador de saldo do seu DHRU. Os fundos liquidam diretamente em endereços que você controla. Nunca custodiamos fundos de clientes.
Runbooks operacionais e procedimentos de resposta a incidentes são mantidos internamente e revisados regularmente.
