Coin Moebius
Sanctum · VI

信頼性

当社が何を保持し、お金がどこへ行き、どう離れるか。この製品が交わすすべての約束の要点を、よくある質問から組み立てなくて済むよう、一か所に書いてあります。

購入者について保持するもの

ほとんど何も。データが少なければ、漏れるものも、召喚状で求められるものも少なくなります。

  • 取引そのもの: 金額、通貨、ステータス、プロバイダーのイベントID。それだけです。
  • 購入者のメール、氏名、住所はありません。 Stripe や他のプロバイダーはチェックアウトのためにそれらを集めますが、それらは当社ではなくあなたのプロバイダーアカウントに存在します。サブスクリプションの購入者データも同様です。当社はプロバイダーの顧客IDを複製せず、カード情報も保持せず、特定の人物にたどり着くものを一切持ちません。
  • あなたが設定する不透明な識別子。チェックアウト時に metadata.customerRef としてご自身のユーザーIDを渡すと、当社はその文字列を保存し、ダッシュボードで「この取引は user_bob_42 のもの」と表示できます。当社にとっては無意味ですが、あなたにとってはご自身のユーザーシステムへの橋になります。本当の購入者の詳細が必要なときは、処理したプロバイダー(Stripe、PayPal、Square、Authorize.Net)へのリンクをたどってください。当社はリンクするだけで、複製はしません。
  • 生の webhook 本文はありません。 署名を検証し、必要なフィールドを読み、残りは破棄します。
  • IPアドレスは決して保存しません。 当社はIPアドレスをデータベースに記録も、ハッシュ化も、送信もしません。Cloudflare のエッジネットワークが、当社側にIPデータを保存せずにレート制限を処理します。
  • 記録上もっとも個人的なものは、サインインのために当社の認証プロバイダーが管理する、加盟店のアカウントメールです。購入者のデータは当社のデータベースにありません。

お金がどこへ行くか

Coin Moebius はソフトウェアであって、決済代行ではありません。お金は当社を通らず、当社がそれを預かることは決してありません。

購入者が Stripe で支払うと、資金はあなたの Stripe アカウントへ入金されます。NOWPayments で支払えば、あなたの NOWPayments アカウントへ。郵送で支払えば、あなたの郵便受けに届きます。Coin Moebius がその流れの真ん中に記録上の販売者として座ることは、一切ありません。

運用上、これには2つの帰結があります。当社は資金移動業者ではないので、顧客資金の保持に伴う規制の対象になりません。そして、もしあなたのプロバイダーアカウントが凍結されても、Coin Moebius への実際の影響は、ダッシュボードの対応する手段が静かになることだけです。他の手段は動き続け、当社が上流の凍結を悪化させることはありません。

いつでも離れられる

製品全体が、当社なしでも動くオープンソースの SDK 上で動きます。

SDK

オープンソースの SDK が荷重を支える部分です。署名の検証を処理し、買うボタンを動かし、プロバイダーと通信します。Cloud は、その上に乗るホスト型の webhook、ダッシュボード、暗号化されたシークレットストアです。利便性であって、囲い込みではありません。

当社が明日閉鎖しても、SDK を別の場所に向ければ、あなたのサイトは動き続けます。移行で逃れるべき独自フォーマットも、アクセスを失う購入者データベースも、ここに縛りつける契約上の最低額もありません。

GitHub の SDKドキュメントを読む

どこで動いているか

当社のスタックにある第三者の面の短い一覧。それぞれをあえて選び、それぞれが置き換え可能です。

  • Cloudflare Pages(マーケティング+ダッシュボードのホスティング)
  • Cloudflare Workers(API、webhook の受信)
  • Cloudflare D1(データベース)
  • Cloudflare R2(必要なときのオブジェクトストレージ)
  • Cloudflare KV(レート制限+キャッシュ)
  • WorkOS AuthKit(加盟店のサインインのみ)
  • Stripe(カード、あなたのアカウント)
  • NOWPayments(暗号資産、あなたのアカウント)
  • Resend(加盟店向けのトランザクションメール)

マーケティングサイトにもダッシュボードにも、第三者の分析はありません。セッションリプレイもありません。広告ピクセルもありません。リクエストが Cloudflare のエッジを離れて他社のサーバーへ向かう最初のときは、あなたに代わってあなたの支払いプロバイダーへ行くときです。

セキュリティ問題の報告

脆弱性を見つけたと思ったら(SDK、Cloud、ダッシュボード、あるいはこれらのマーケティングページのどこでも)、件名のどこかに「security」と入れて、[email protected] までご連絡ください。

当社はセキュリティ報告を2営業日以内に確認し、30日以内に修正または回避策を出すことを目指しています。現在のところ有償のバグ報奨金プログラムは運用していません。クレジットを望む誠実な報告者は公に謝意を表し、標準的な責任ある開示の規範のもとで誠実に行動する研究者に対して、法的措置を取ることは絶対にありません。

セキュリティ問題を公開の GitHub Issue として登録しないでください。プロジェクトのリポジトリはコードのためのもので、脆弱性の振り分けのためではありません。

ウォラント・カナリアは会社概要にあります

消えたときに気づきやすいよう、一つの正規の場所に置いてあります。

カナリアを読むよくある質問のプライバシー