InicioPago con YapePago con QRPreciosSeguridadDevelopersBlog Ingresar Crear cuenta
Inicio / Seguridad

Tranquilo: tu plata está protegida.

Cada cobro pasa por varias capas de verificación antes de confirmarse. Seguridad de grado bancario, lista desde el primer cobro.

Firmas HMAC-SHA256

Cada webhook firmado y verificable de extremo a extremo.

Idempotencia

Sin cobros duplicados, aunque la red falle y reintente.

Cumplimiento PLAFT

Prevención de lavado de activos según normativa peruana.

Cifrado TLS 1.3

Todo el tráfico cifrado en tránsito y en reposo.

Anti-captura falsa

Si TAYPI dice “pagado”, está pagado.

No confiamos en capturas de pantalla. Cada cobro genera un QR dinámico de un solo uso con monto y referencia, y se confirma directamente con la entidad financiera. Verificamos que el monto recibido coincida con el QR emitido antes de marcarlo como confirmado.

  • QR de un solo uso, expira en minutos
  • Verificación de monto (anti-tampering)
  • Confirmación contra el banco, no contra el cliente
verify webhook
// Verifica la firma del webhook antes de confiar
const sig = req.headers["taypi-signature"];
const expected = hmacSHA256(SECRET_KEY, req.rawBody);

if (!timingSafeEqual(sig, expected))
  return res.sendStatus(401); // firma inválida

// status === "completed" → entrega el pedido
if (event.status === "completed") fulfill(event.reference);
Capas de protección

Defensa en profundidad.

Cada transacción atraviesa múltiples controles antes de llegar a tu cuenta.

Verificación bancaria directa

Confirmamos el pago contra la entidad financiera, no contra capturas ni el dispositivo del cliente.

QR de un solo uso

Cada QR tiene monto, referencia y expiración. Imposible reutilizar o duplicar un cobro.

Idempotencia integral

Claves de idempotencia evitan dobles cargos ante reintentos de red o webhooks repetidos.

Infraestructura regulada

Operamos sobre la infraestructura de pagos del Perú: interoperabilidad QR del BCRP a través de la CCE, bajo el marco normativo del sistema financiero y supervisión de la SBS.

Cifrado y aislamiento

TLS 1.3 en todas las comunicaciones, datos cifrados en reposo y separación estricta de credenciales por comercio.

Preguntas frecuentes

Seguridad, en simple.

¿Cómo sé que un pago es real y no una captura editada?
TAYPI no se basa en capturas. Confirmamos el pago directamente con la entidad financiera y validamos que el monto coincida con el QR emitido. Solo cuando el banco confirma, marcamos el cobro como pagado.
¿Qué es una firma HMAC-SHA256?
Es una firma criptográfica que acompaña cada webhook. Tu sistema puede verificarla con tu clave secreta para asegurarse de que la notificación realmente vino de TAYPI y no fue manipulada.
¿Pueden cobrarme dos veces por error?
No. Usamos claves de idempotencia: aunque una solicitud se reintente por un problema de red, el cobro se procesa una sola vez.
¿TAYPI está regulado?
Operamos sobre la infraestructura de pagos interoperables del BCRP a través de la CCE, y aplicamos controles de prevención de lavado de activos (PLAFT) conforme a la normativa peruana.

Cobra con la tranquilidad de que entró.

Deja de revisar el celular en cada venta. TAYPI confirma cada pago por ti.

Quiero afiliarme