Keamanan tanpa kompromi.
Kami menyimpan bitcoin untuk orang-orang yang tidak mempercayakan tabungan mereka kepada entitas yang tidak dikenal. Inilah cara kami melindungi apa yang menjadi milik Anda.
Pendekatan kami menggabungkan prinsip kriptografi yang terbukti dengan disiplin operasional. Setiap sistem dirancang untuk menahan serangan sambil mempertahankan aksesibilitas bagi klien kami.
Bagaimana kami menyimpan bitcoin
Cold storage terisolasi
Kunci privat dihasilkan dan disimpan secara offline pada perangkat yang tidak pernah terhubung ke internet atau jaringan lainnya. Penandatanganan transaksi terjadi dalam isolasi fisik.
Penyimpanan multi-tanda tangan
Penarikan memerlukan beberapa tanda tangan independen dari kunci yang disimpan di lokasi berbeda oleh personel berbeda. Tidak ada satu karyawan atau lokasi yang dapat memindahkan dana sendiri.
Distribusi geografis
Material kunci didistribusikan di beberapa yurisdiksi, memastikan bahwa tidak ada peristiwa lokal — baik bencana alam maupun situasi politik — yang dapat mengganggu kemampuan kami mengakses aset klien.
Modul keamanan perangkat keras
Operasi kriptografi kritis terjadi di dalam perangkat keras tahan-rusak yang membuat kunci privat tidak dapat diekspor dan menegakkan kontrol akses.
Arsitektur zero trust
Setiap tindakan dalam sistem kami memerlukan otentikasi dan otorisasi. Tidak ada zona tepercaya — hanya permintaan terverifikasi yang memenuhi kebijakan.
Pemantauan berkelanjutan
Semua sistem dipantau 24/7 untuk anomali. Aktivitas mencurigakan memicu penguncian segera yang memerlukan verifikasi manual sebelum melanjutkan.
Keamanan akun
Otentikasi passkey
Kami menggunakan passkey FIDO2 sebagai otentikasi utama. Ini berarti tidak ada kata sandi untuk di-phishing, tidak ada kode SMS untuk dicegat, dan tidak ada seed phrase untuk diekspos.
Persetujuan penarikan
Permintaan penarikan tunduk pada penundaan waktu dan notifikasi yang memberi Anda waktu untuk merespons jika permintaan tidak berasal dari Anda.
Tujuan tersimpan
Penarikan dapat dibatasi ke alamat yang telah disetujui sebelumnya. Menambahkan alamat baru memerlukan verifikasi yang ditingkatkan dan tunduk pada periode tunggu.
Manajemen sesi
Anda dapat melihat semua sesi aktif, logout dari perangkat yang tidak dikenal, dan membatasi durasi sesi. Kami tidak menyimpan login persisten tanpa izin Anda.
Log aktivitas
Riwayat aktivitas akun lengkap tersedia kapan saja. Anda dapat melihat dengan tepat kapan akun Anda diakses dan tindakan apa yang dilakukan.
Keamanan operasional
Kontrol teknis hanyalah setengah dari persamaan. Setengah lainnya adalah bagaimana kami beroperasi sehari-hari.
Pemisahan tugas
Tidak ada satu individu yang dapat menyelesaikan operasi sensitif. Tindakan kritis memerlukan persetujuan dari beberapa anggota tim dalam peran berbeda.
Prinsip hak istimewa minimal
Staf hanya memiliki akses ke sistem yang mereka butuhkan untuk pekerjaan mereka saat ini. Akses ditinjau secara berkala dan dicabut ketika tidak lagi diperlukan.
Prosedur terdokumentasi
Semua operasi terkait keamanan mengikuti prosedur tertulis. Daftar periksa dan persetujuan menciptakan jejak audit dan mencegah jalan pintas.
Pemeriksaan latar belakang
Semua personel dengan akses ke sistem sensitif menjalani pemeriksaan latar belakang menyeluruh dan verifikasi berkelanjutan.
Bagaimana kami menjaga disiplin
Keamanan bukan fitur; ini adalah praktik. Inilah cara kami mempertahankan standar:
Fokus sempit
Kami hanya menawarkan penyimpanan bitcoin. Tidak ada pinjaman, tidak ada perdagangan, tidak ada protokol eksperimental. Setiap layanan yang bisa kami tambahkan adalah permukaan serangan yang kami pilih untuk tidak dipelihara.
Keamanan sebelum kecepatan
Peningkatan keamanan tidak pernah ditunda untuk jadwal komersial. Jika implementasi yang benar memerlukan lebih banyak waktu, kami mengambil waktu itu.
Tinjauan rutin
Kami melakukan penilaian keamanan reguler, pengujian penetrasi, dan audit. Hasilnya masuk ke peta jalan kami; tidak ada yang disimpan begitu saja.
Skeptisisme terhadap kebaruan
Teknologi baru diteliti secara menyeluruh sebelum diadopsi. Kami lebih memilih pendekatan yang terbukti daripada yang baru muncul kecuali jika keuntungan keamanannya jelas.
Pengungkapan yang bertanggung jawab
Kami menyambut pelaporan kerentanan keamanan secara bertanggung jawab. Jika Anda yakin telah menemukan masalah, kami ingin mendengarnya.
Cara melaporkan
Kirim informasi terperinci tentang potensi kerentanan ke security@ficha.com.
Untuk komunikasi terenkripsi, Anda dapat menggunakan kunci PGP kami yang tersedia di pgp-key.txt.
Yang kami minta
- Berikan kami waktu yang wajar untuk menyelidiki dan memperbaiki sebelum pengungkapan publik
- Jangan menguji dengan cara yang menurunkan layanan atau mengakses data pelanggan lain
- Sertakan instruksi langkah demi langkah untuk mereproduksi masalah
- Beri tahu kami bagaimana Anda ingin diberitahu tentang hasilnya
- Bertindak dengan itikad baik dan pertimbangan yang wajar untuk privasi dan keamanan
Yang kami janjikan
- Mengonfirmasi penerimaan laporan Anda dalam dua hari kerja
- Memberi tahu Anda tentang kemajuan investigasi
- Mengakui kontribusi Anda (jika diinginkan) setelah masalah diperbaiki
- Tidak mengambil tindakan hukum terhadap peneliti yang mematuhi kebijakan ini
Program bug bounty
Kami menawarkan hadiah untuk penemuan keamanan yang memenuhi syarat, tergantung pada tingkat keparahan dan dampak. Detail diberikan sebagai bagian dari proses pengungkapan.
Safe harbor
Penelitian keamanan yang dilakukan dengan itikad baik mengikuti panduan ini diotorisasi oleh kami. Kami tidak akan mengambil tindakan hukum atau mengajukan keluhan untuk pelanggaran kebijakan yang tidak disengaja selama Anda mematuhi ketentuan yang dijelaskan di atas.
Informasi dalam format yang dapat dibaca mesin tersedia di security.txt sesuai dengan RFC 9116.
Jika Anda memiliki pertanyaan tentang praktik keamanan kami, jangan ragu untuk menghubungi kami kapan saja.
