Sécurité sans compromis.
Nous conservons du bitcoin pour des personnes qui ne confient pas leurs économies à une entité inconnue. Voici comment nous protégeons ce qui vous appartient.
Notre approche combine des principes cryptographiques éprouvés avec une discipline opérationnelle. Chaque système est conçu pour résister aux attaques tout en maintenant l'accessibilité pour nos clients.
Comment nous conservons le bitcoin
Stockage à froid isolé
Les clés privées sont générées et stockées hors ligne sur des appareils qui n'ont jamais été connectés à internet ou à d'autres réseaux. La signature des transactions se fait dans un isolement physique.
Conservation multi-signatures
Les retraits nécessitent plusieurs signatures indépendantes provenant de clés détenues dans différents lieux par différentes personnes. Aucun employé ni aucun site ne peut déplacer les fonds seul.
Distribution géographique
Le matériel cryptographique est réparti sur plusieurs juridictions, garantissant qu'aucun événement local — qu'il s'agisse d'une catastrophe naturelle ou d'une situation politique — ne puisse compromettre notre capacité d'accéder aux actifs des clients.
Modules de sécurité matériels
Les opérations cryptographiques critiques se déroulent dans du matériel inviolable qui rend les clés privées non exportables et applique les contrôles d'accès.
Architecture zéro confiance
Chaque action dans nos systèmes nécessite une authentification et une autorisation. Il n'y a pas de zones de confiance — seulement des demandes vérifiées qui respectent la politique.
Surveillance continue
Tous les systèmes sont surveillés 24h/24 pour détecter les anomalies. Les activités suspectes déclenchent des verrouillages immédiats nécessitant une vérification manuelle avant de continuer.
Sécurité du compte
Authentification par passkey
Nous utilisons les passkeys FIDO2 comme authentification principale. Cela signifie pas de mots de passe à hameçonner, pas de codes SMS à intercepter, et pas de phrases de récupération à exposer.
Approbation des retraits
Les demandes de retrait sont soumises à des délais et notifications qui vous laissent le temps de réagir si une demande ne vient pas de vous.
Destinations enregistrées
Les retraits peuvent être limités aux adresses pré-approuvées. L'ajout de nouvelles adresses nécessite une vérification renforcée et est soumis à un délai de réflexion.
Gestion des sessions
Vous pouvez voir toutes les sessions actives, déconnecter les appareils inconnus et limiter la durée des sessions. Nous ne conservons pas de connexions persistantes sans votre autorisation.
Journaux d'activité
L'historique complet de l'activité du compte est disponible à tout moment. Vous pouvez voir exactement quand votre compte a été consulté et quelles actions ont été effectuées.
Sécurité opérationnelle
Les contrôles techniques ne sont que la moitié de l'équation. L'autre moitié est la façon dont nous travaillons au quotidien.
Séparation des fonctions
Aucune personne seule ne peut accomplir d'opérations sensibles. Les actions critiques nécessitent l'approbation de plusieurs membres de l'équipe occupant des rôles différents.
Principe du moindre privilège
Le personnel n'a accès qu'aux systèmes dont il a besoin pour son travail actuel. Les accès sont régulièrement révisés et révoqués lorsqu'ils ne sont plus nécessaires.
Procédures documentées
Toutes les opérations liées à la sécurité suivent des procédures écrites. Les listes de contrôle et les approbations créent une piste d'audit et empêchent les raccourcis.
Vérifications des antécédents
Tout le personnel ayant accès à des systèmes sensibles est soumis à des vérifications approfondies et une vérification continue.
Comment nous restons disciplinés
La sécurité n'est pas une fonctionnalité ; c'est une pratique. Voici comment nous maintenons nos standards :
Focus étroit
Nous n'offrons que la conservation de bitcoin. Pas de prêts, pas de trading, pas de protocoles expérimentaux. Chaque service que nous pourrions ajouter est une surface d'attaque que nous choisissons de ne pas maintenir.
Sécurité avant rapidité
Les améliorations de sécurité ne sont jamais retardées pour des délais commerciaux. Si une mise en œuvre correcte prend plus de temps, nous prenons ce temps.
Révisions régulières
Nous effectuons des évaluations de sécurité, des tests d'intrusion et des audits réguliers. Les résultats alimentent notre feuille de route ; rien n'est classé sans suite.
Scepticisme envers la nouveauté
Les nouvelles technologies sont examinées en profondeur avant adoption. Nous préférons les approches éprouvées aux approches émergentes, sauf si le gain en sécurité est clair.
Divulgation responsable
Nous accueillons favorablement le signalement responsable des vulnérabilités de sécurité. Si vous pensez avoir trouvé un problème, nous souhaitons en être informés.
Comment signaler
Envoyez les informations détaillées sur les vulnérabilités potentielles à security@ficha.com.
Pour les communications chiffrées, vous pouvez utiliser notre clé PGP disponible à pgp-key.txt.
Ce que nous demandons
- Accordez-nous un délai raisonnable pour enquêter et corriger avant toute divulgation publique
- Ne testez pas d'une manière qui dégrade les services ou accède aux données d'autres clients
- Incluez des instructions étape par étape pour reproduire le problème
- Indiquez-nous comment vous souhaitez être informé du résultat
- Agissez de bonne foi et avec une considération raisonnable pour la confidentialité et la sécurité
Ce que nous nous engageons à faire
- Accuser réception de votre signalement dans les deux jours ouvrables
- Vous tenir informé de l'avancement de l'enquête
- Reconnaître votre contribution (si souhaité) une fois le problème résolu
- Ne pas engager de poursuites judiciaires contre les chercheurs qui respectent cette politique
Programme de récompenses
Nous offrons des récompenses pour les découvertes de sécurité qualifiées, selon la gravité et l'impact. Les détails sont fournis dans le cadre du processus de divulgation.
Sphère de sécurité
La recherche en sécurité menée de bonne foi selon ces directives est autorisée par nous. Nous n'engagerons pas d'action judiciaire ni ne déposerons de plainte pour des violations involontaires de cette politique, tant que vous respectez les conditions décrites ci-dessus.
Les informations au format lisible par machine sont disponibles à security.txt conformément à la RFC 9116.
Si vous avez des questions sur nos pratiques de sécurité, n'hésitez pas à nous contacter.
