Sicherheit ohne Kompromisse.
Wir verwahren Bitcoin für Menschen, die ihre Ersparnisse nicht einer unbekannten Instanz anvertrauen. So schützen wir, was Ihnen gehört.
Unser Ansatz kombiniert bewährte kryptografische Prinzipien mit operativer Disziplin. Jedes System ist darauf ausgelegt, Angriffen standzuhalten und gleichzeitig die Zugänglichkeit für unsere Kunden zu gewährleisten.
Wie wir Bitcoin verwahren
Air-Gapped Cold Storage
Private Schlüssel werden offline generiert und gespeichert auf Geräten, die niemals mit dem Internet oder anderen Netzwerken verbunden waren. Das Signieren von Transaktionen erfolgt physisch isoliert.
Multi-Signatur-Verwahrung
Auszahlungen erfordern mehrere unabhängige Signaturen von Schlüsseln, die an verschiedenen Standorten mit unterschiedlichem Personal gehalten werden. Kein einzelner Mitarbeiter oder Standort kann Gelder allein bewegen.
Geografische Verteilung
Schlüsselmaterial ist über mehrere Rechtsprechungen verteilt, um sicherzustellen, dass kein lokales Ereignis – ob Naturkatastrophe oder politische Situation – unsere Fähigkeit beeinträchtigen kann, auf Kundenvermögen zuzugreifen.
Hardware-Sicherheitsmodule
Kritische kryptografische Operationen finden innerhalb manipulationssicherer Hardware statt, die private Schlüssel nicht exportierbar macht und Zugriffskontrollen durchsetzt.
Zero-Trust-Architektur
Jede Aktion in unseren Systemen erfordert Authentifizierung und Autorisierung. Es gibt keine vertrauenswürdigen Zonen – nur verifizierte Anfragen, die die Richtlinie erfüllen.
Kontinuierliche Überwachung
Alle Systeme werden rund um die Uhr auf Anomalien überwacht. Verdächtige Aktivitäten lösen sofortige Sperren aus und erfordern manuelle Überprüfung, bevor fortgefahren werden kann.
Kontosicherheit
Passkey-Authentifizierung
Wir verwenden FIDO2-Passkeys als primäre Authentifizierung. Das bedeutet keine Passwörter zum Phishen, keine SMS-Codes zum Abfangen und keine Seed-Phrasen zum Offenlegen.
Auszahlungsgenehmigung
Auszahlungsanfragen unterliegen Zeitverzögerungen und Benachrichtigungen, die Ihnen Zeit geben zu reagieren, wenn eine Anfrage nicht von Ihnen stammt.
Gespeicherte Zieladressen
Auszahlungen können auf vorab genehmigte Adressen beschränkt werden. Das Hinzufügen neuer Adressen erfordert erweiterte Verifizierung und unterliegt einer Bedenkzeit.
Sitzungsverwaltung
Sie können alle aktiven Sitzungen einsehen, unbekannte Geräte abmelden und die Sitzungsdauer begrenzen. Wir speichern keine persistenten Anmeldungen, wenn Sie dies nicht erlauben.
Aktivitätsprotokolle
Vollständige Kontoaktivitäten sind jederzeit abrufbar. Sie können genau sehen, wann auf Ihr Konto zugegriffen wurde und welche Aktionen durchgeführt wurden.
Betriebliche Sicherheit
Technische Kontrollen sind nur die Hälfte der Gleichung. Die andere Hälfte besteht darin, wie wir täglich arbeiten.
Aufgabentrennung
Keine Einzelperson kann sensible Operationen abschließen. Kritische Aktionen erfordern Genehmigung durch mehrere Teammitglieder in unterschiedlichen Rollen.
Prinzip der minimalen Rechte
Mitarbeiter haben nur Zugang zu den Systemen, die sie für ihre aktuelle Arbeit benötigen. Der Zugang wird regelmäßig überprüft und entzogen, wenn er nicht mehr erforderlich ist.
Dokumentierte Verfahren
Alle sicherheitsrelevanten Operationen folgen schriftlichen Verfahren. Checklisten und Genehmigungen schaffen Nachvollziehbarkeit und verhindern Abkürzungen.
Hintergrundüberprüfungen
Alle Mitarbeiter mit Zugang zu sensiblen Systemen durchlaufen umfassende Hintergrundprüfungen und laufende Verifizierung.
Wie wir diszipliniert bleiben
Sicherheit ist keine Funktion; sie ist eine Praxis. So halten wir Standards aufrecht:
Enger Fokus
Wir bieten nur Bitcoin-Verwahrung an. Keine Kredite, kein Handel, keine experimentellen Protokolle. Jeder Dienst, den wir anbieten könnten, ist Angriffsfläche, die wir uns entscheiden nicht zu pflegen.
Sicherheit vor Geschwindigkeit
Sicherheitsverbesserungen werden niemals aufgrund kommerzieller Zeitpläne verzögert. Wenn die richtige Umsetzung mehr Zeit erfordert, nehmen wir uns diese Zeit.
Routine-Überprüfungen
Wir führen regelmäßige Sicherheitsbewertungen, Penetrationstests und Audits durch. Die Ergebnisse fließen in unsere Roadmap ein; nichts wird in einer Schublade verstaut.
Skepsis gegenüber Neuem
Neue Technologien werden ausgiebig geprüft, bevor sie eingeführt werden. Wir bevorzugen bewährte Ansätze gegenüber aufstrebenden, es sei denn, der Sicherheitsgewinn ist eindeutig.
Verantwortungsvolle Offenlegung
Wir begrüßen die verantwortungsvolle Meldung von Sicherheitsschwachstellen. Wenn Sie glauben, ein Problem gefunden zu haben, möchten wir davon erfahren.
Wie Sie berichten
Senden Sie detaillierte Informationen zu möglichen Schwachstellen an security@ficha.com.
Für verschlüsselte Kommunikation können Sie unseren PGP-Schlüssel verwenden, verfügbar unter pgp-key.txt.
Worum wir bitten
- Geben Sie uns angemessene Zeit zur Untersuchung und Behebung, bevor Sie öffentlich darüber sprechen
- Testen Sie nicht auf eine Weise, die Dienste beeinträchtigt oder auf Daten anderer Kunden zugreift
- Fügen Sie Schritt-für-Schritt-Anweisungen bei, um das Problem zu reproduzieren
- Teilen Sie uns mit, wie Sie über das Ergebnis benachrichtigt werden möchten
- Handeln Sie in gutem Glauben und mit angemessener Rücksicht auf die Privatsphäre und Sicherheit
Was wir zusagen
- Bestätigung Ihres Berichts innerhalb von zwei Geschäftstagen
- Sie über den Untersuchungsfortschritt auf dem Laufenden halten
- Ihren Beitrag anerkennen (sofern gewünscht), sobald das Problem behoben ist
- Keine rechtlichen Schritte gegen Forscher einleiten, die diese Richtlinie einhalten
Bug-Bounty-Programm
Wir bieten Belohnungen für qualifizierte Sicherheitsfunde, abhängig von Schweregrad und Auswirkung. Details werden im Rahmen des Offenlegungsprozesses bereitgestellt.
Safe Harbor
Sicherheitsforschung, die im guten Glauben nach diesen Richtlinien durchgeführt wird, ist von uns autorisiert. Wir werden keine rechtlichen Schritte einleiten oder eine Strafverfolgungsbeschwerde für versehentliche Richtlinienverstöße einreichen, solange Sie die oben beschriebenen Bedingungen einhalten.
Informationen in maschinenlesbarem Format sind verfügbar unter security.txt gemäß RFC 9116.
Bei Fragen zu unseren Sicherheitspraktiken können Sie uns jederzeit kontaktieren.
