Tranquilo: tu plata está protegida.
Cada cobro pasa por varias capas de verificación antes de confirmarse. Seguridad de grado bancario, lista desde el primer cobro.
Firmas HMAC-SHA256
Cada webhook firmado y verificable de extremo a extremo.
Idempotencia
Sin cobros duplicados, aunque la red falle y reintente.
Cumplimiento PLAFT
Prevención de lavado de activos según normativa peruana.
Cifrado TLS 1.3
Todo el tráfico cifrado en tránsito y en reposo.
Si TAYPI dice “pagado”, está pagado.
No confiamos en capturas de pantalla. Cada cobro genera un QR dinámico de un solo uso con monto y referencia, y se confirma directamente con la entidad financiera. Verificamos que el monto recibido coincida con el QR emitido antes de marcarlo como confirmado.
- QR de un solo uso, expira en minutos
- Verificación de monto (anti-tampering)
- Confirmación contra el banco, no contra el cliente
// Verifica la firma del webhook antes de confiar const sig = req.headers["taypi-signature"]; const expected = hmacSHA256(SECRET_KEY, req.rawBody); if (!timingSafeEqual(sig, expected)) return res.sendStatus(401); // firma inválida // status === "completed" → entrega el pedido if (event.status === "completed") fulfill(event.reference);
Defensa en profundidad.
Cada transacción atraviesa múltiples controles antes de llegar a tu cuenta.
Verificación bancaria directa
Confirmamos el pago contra la entidad financiera, no contra capturas ni el dispositivo del cliente.
QR de un solo uso
Cada QR tiene monto, referencia y expiración. Imposible reutilizar o duplicar un cobro.
Idempotencia integral
Claves de idempotencia evitan dobles cargos ante reintentos de red o webhooks repetidos.
Infraestructura regulada
Operamos sobre la infraestructura de pagos del Perú: interoperabilidad QR del BCRP a través de la CCE, bajo el marco normativo del sistema financiero y supervisión de la SBS.
Cifrado y aislamiento
TLS 1.3 en todas las comunicaciones, datos cifrados en reposo y separación estricta de credenciales por comercio.