信任
我们留存什么、钱去往何处、如何离开。这个产品所做的每一项承诺的精简版,写在同一处,免得你要从常见问题里东拼西凑。
关于你的买家,我们留存什么
几乎什么都不留。数据越少,能泄露的就越少,能被传唤的也越少。
- 交易本身:金额、币种、状态,以及渠道的事件 id。仅此而已。
- 不留买家的邮箱、姓名或地址。Stripe 和其他渠道会为它们自己的结账流程收集这些;它们留在你的渠道账户里,而不在我们这里。订阅买家的数据也是如此。我们不镜像渠道的客户 id,不保留银行卡信息,不持有任何能指回某个具体个人的东西。
- 一个你设定的不透明标识符。如果你在结账时把你自己的用户 id 作为
metadata.customerRef传入,我们会存下那个字符串,这样你的后台就能显示“这笔交易来自 user_bob_42”。对我们而言它毫无含义。对你而言它是通往你自己用户系统的桥。当你需要真正的买家详情时,顺着链接去往处理它的那个渠道(Stripe、PayPal、Square 或 Authorize.Net);我们只链接出去,不做复制。 - 不留原始 webhook 内容。我们校验签名,读取我们关心的字段,其余一概丢弃。
- 从不存储 IP 地址。我们不向数据库记录、哈希或传输 IP 地址。Cloudflare 的边缘网络负责速率限制,无需在我们这一侧存储 IP 数据。
- 存档中最私密的东西是商家的账户邮箱,由我们的身份认证渠道用于登录管理。买家的数据不在我们的数据库里。
你的钱去往何处
Coin Moebius 是软件,不是支付处理机构。钱不经过我们,我们也从不托管它。
当买家通过 Stripe 付款,资金结算进你的 Stripe 账户。当他们通过 NOWPayments 付款,资金结算进你的 NOWPayments 账户。当他们邮寄付款,钱到达你的信箱。在这条链路里,Coin Moebius 在任何时刻都不会作为记录在册的商户夹在中间。
在运营层面,这带来两个后果。我们不是货币传输机构,所以我们不受持有客户资金所带来的那些监管约束。而且如果你的渠道账户哪天被冻结,对 Coin Moebius 唯一的实际影响,就是你后台里对应的那个渠道安静了下来。你的其他渠道照常工作,关于我们的一切都不会让上游的冻结变得更糟。
你可以随时离开
整个产品跑在一套不依赖我们也能工作的开源 SDK 上。
这套开源 SDK 是承重的核心。它负责签名校验、驱动买按钮,并与各渠道通信。Cloud 是叠在它之上的一个托管 webhook、一个后台,以及一个加密的密钥库。是便利,不是锁定。
即便我们明天就关停,只要你把 SDK 指向别处,你的站点照常运转。没有要迁出的专有格式,没有会失去访问权的买家数据库,也没有把你拴在这里的合约最低消费。
它跑在哪里
我们技术栈里第三方表面的一份简短清单。每一个都是我们有意挑选的,每一个都可替换。
- Cloudflare Pages(营销站点 + 后台托管)
- Cloudflare Workers(API、webhook 接收)
- Cloudflare D1(数据库)
- Cloudflare R2(对象存储,按需使用)
- Cloudflare KV(速率限制 + 缓存)
- WorkOS AuthKit(仅用于商家登录)
- Stripe(银行卡,你的账户)
- NOWPayments(加密货币,你的账户)
- Resend(发给商家的事务性邮件)
营销站点和后台都没有第三方分析。没有会话回放。没有广告像素。一个请求第一次离开 Cloudflare 边缘前往别人服务器的时刻,是它代表你前往你的支付渠道之时。
报告安全问题
如果你认为发现了一个漏洞(在 SDK 里、在 Cloud 里、在后台里,或在这些营销页面的任何地方),请写信至 [email protected],并在主题行的某处写上“security”。
我们力求在两个工作日内确认收到安全报告,并在三十天内发布修复或临时方案。我们目前不运行付费的漏洞赏金计划。我们会公开致谢愿意署名的善意报告者,并且绝不会对在标准的负责任披露规范下善意行事的研究者采取法律行动。
请不要把安全问题作为公开的 GitHub issue 提交;项目仓库是给代码用的,不是用于漏洞处置的。