传输加密
所有到 BuffMoney API 与后台的流量均通过 TLS 1.2+(仅 HTTPS)。明文 HTTP 请求会被重定向或拒绝。
BuffMoney 在跨境间搬运真金白银,所以平台从设计上就要为每一个请求、每一笔钱负责。 下面用大白话讲清楚我们的安全控制——不写没有的认证,不说兜不住的话。
所有到 BuffMoney API 与后台的流量均通过 TLS 1.2+(仅 HTTPS)。明文 HTTP 请求会被重定向或拒绝。
个人可识别信息与支付元数据静态加密。我们不接收、不存储消费者银行卡号——收款全程走微信支付 / 支付宝渠道。
每个 API 调用都用带 scope 的 bearer key 鉴权。Sandbox 与 live key 在 key 层分离;密钥只展示一次,可在后台轮换或吊销。
出站 webhook 经 HMAC 签名,你可校验真实性、拒绝伪造请求。幂等 key 让重试安全——不会产生重复副作用。
API key scope(usage:write、invoice:read、checkout:write)只授予所需权限。敏感操作与结算审批记录在 append-only 审计日志中。
发现问题?发邮件至 security@buffmoney.com。 我们会确认收到并本着善意与研究者协作。请在我们回应前不要公开披露。
把收入托付给我们时,真正要紧的那些「不起眼」的细节。
欢迎负责任的披露,我们会确认收到。