安全聲明

一、傳輸安全

PayCore 付款頁、API 與營運管理中心服務應透過 HTTPS 存取，以降低資料在傳輸過程中遭攔截或竄改的風險。

二、憑證與權限

API Key、Webhook Secret、管理員帳號與金流憑證應視為敏感資料。商戶需限制存取權限，定期檢查是否外洩，並於疑似外洩時立即停用或更換。

三、簽章與驗證

商戶接收 Callback、Webhook 或 payok_url 通知時，應驗證來源、簽章、時間戳與交易狀態，避免僅依前端跳轉或未驗證通知判定付款成功。

四、交易追蹤

PayCore 會保留必要的付款狀態、通知、回調、同步與錯誤紀錄，以便追蹤交易生命週期與排查異常。

五、風險控管

PayCore 可能依交易異常、可疑請求、攻擊流量、第三方金流回應或法令要求，暫停、拒絕或限制特定請求或付款流程。

六、商戶系統安全

商戶應確保自身網站、伺服器、資料庫、後台與串接程式安全。PayCore 不負責商戶端弱點、外掛、密碼管理或資料外洩所造成的損失。

七、通知可靠性

PayCore 會提供通知與重送機制，但通知送達可能受商戶伺服器、防火牆、DNS、第三方服務與網路狀態影響。商戶應實作冪等處理與主動查詢。

八、安全回報

若發現疑似安全問題，請透過支援中心提供可重現步驟、時間、URL、錯誤訊息與影響範圍。請勿公開揭露或利用弱點。