Skip to main content
A segurança é nossa prioridade máxima. A API Quantum Pay implementa múltiplas camadas de proteção para garantir que suas transações e dados estejam sempre seguros.

Autenticação

Credenciais API

Utilizamos um sistema de dupla chave para máxima segurança:
  • API Key (Chave Pública): pk_live_* ou pk_test_*
  • API Secret (Chave Secreta): sk_live_* ou sk_test_*
Importante: Nunca exponha sua API Secret em código client-side, repositórios públicos ou logs. Mantenha-a sempre em ambiente seguro.

Tokens Bearer

Todos os endpoints protegidos requerem autenticação via token Bearer JWT:
Características dos tokens:
  • Tempo de vida: 30 minutos (1800 segundos)
  • Renovação: Automaticamente antes da expiração
  • Escopo: Limitado às permissões da empresa

Proteção de dados

Criptografia

  • TLS 1.3: Todas as comunicações são criptografadas
  • AES-256: Dados sensíveis em repouso
  • RSA-4096: Chaves de criptografia assimétrica

Conformidade

Estamos em total conformidade com a LGPD brasileira:
  • Minimização de dados coletados
  • Transparência no processamento
  • Direito ao esquecimento
  • Consentimento explícito
Certificação PCI DSS Level 1 para proteção de dados de pagamento:
  • Ambientes segregados
  • Monitoramento 24/7
  • Testes de penetração regulares
  • Auditoria contínua
Seguimos todas as diretrizes do PIX e do Sistema de Pagamentos Brasileiro:
  • Padrões de segurança PIX
  • Proteção contra fraudes
  • Monitoramento de transações
  • Relatórios regulatórios

Monitoramento e prevenção

Detecção de Fraudes

Nossa plataforma monitora continuamente:
  • Padrões anômalos de transação
  • Velocidade de transações
  • Geolocalização suspeita
  • Dispositivos não reconhecidos

Rate Limiting

Protegemos contra ataques de força bruta e DDoS:
  • Limites por endpoint
  • Throttling inteligente
  • Bloqueio automático de IPs suspeitos
  • Alertas em tempo real

Boas práticas de implementação

Armazenamento Seguro

Recomendação: Use variáveis de ambiente para armazenar credenciais:

Validação de Webhooks

SEMPRE valide a assinatura dos webhooks:

Idempotência

Use chaves de idempotência para evitar transações duplicadas:

Auditoria e logs

Logs de Segurança

Mantemos logs detalhados de:
  • Tentativas de autenticação
  • Acessos à API
  • Transações processadas
  • Alterações de configuração

Retenção de Dados

Incidentes de segurança

Resposta a Incidentes

Em caso de suspeita de comprometimento:
  1. Imediato: Revogue suas chaves API no dashboard
  2. Notificação: Entre em contato conosco imediatamente
  3. Investigação: Nossa equipe iniciará investigação
  4. Resolução: Implementaremos medidas corretivas

Contato de Emergência

Emergência de segurança

Para incidentes de segurança críticos

Suporte 24/7

WhatsApp para emergências (24h)

Checklist de segurança

Antes de ir para produção, verifique:
  • API Keys armazenadas em variáveis de ambiente
  • Chaves de produção separadas das de teste
  • Acesso às chaves limitado aos desenvolvedores necessários
  • Rotação periódica das chaves planejada
  • Sempre usar HTTPS em produção
  • Validar certificados SSL
  • Implementar timeout adequado nas requisições
  • Usar TLS 1.2 ou superior
  • Validação de assinatura implementada
  • Endpoint webhook protegido
  • Processamento idempotente
  • Rate limiting no endpoint
  • Logs de transações ativados
  • Alertas para falhas configurados
  • Monitoramento de performance
  • Dashboard de métricas

📞 Suporte de Segurança

Email: contato@quantumhubpay.com
Emergência: +55 62 9631-7464
Bug Bounty: Temos programa de recompensas para vulnerabilidades
Nossa equipe de segurança está disponível 24/7 para responder a incidentes críticos.