Sicurezza senza compromessi.
Custodiamo bitcoin per persone che non affidano i propri risparmi a un'entità sconosciuta. Ecco come proteggiamo ciò che ti appartiene.
Il nostro approccio combina principi crittografici collaudati con disciplina operativa. Ogni sistema è progettato per resistere agli attacchi mantenendo l'accessibilità per i nostri clienti.
Come custodiamo il bitcoin
Cold storage air-gapped
Le chiavi private vengono generate e conservate offline su dispositivi che non sono mai stati connessi a internet o ad altre reti. La firma delle transazioni avviene in isolamento fisico.
Custodia multi-firma
I prelievi richiedono più firme indipendenti da chiavi detenute in luoghi diversi da persone diverse. Nessun singolo dipendente o sede può spostare fondi da solo.
Distribuzione geografica
Il materiale crittografico è distribuito su più giurisdizioni, garantendo che nessun evento locale — sia esso un disastro naturale o una situazione politica — possa compromettere la nostra capacità di accedere agli asset dei clienti.
Moduli di sicurezza hardware
Le operazioni crittografiche critiche avvengono all'interno di hardware tamper-resistant che rende le chiavi private non esportabili e applica i controlli di accesso.
Architettura zero trust
Ogni azione nei nostri sistemi richiede autenticazione e autorizzazione. Non esistono zone fidate — solo richieste verificate che rispettano le policy.
Monitoraggio continuo
Tutti i sistemi sono monitorati 24/7 per rilevare anomalie. Le attività sospette attivano blocchi immediati che richiedono verifica manuale prima di procedere.
Sicurezza dell'account
Autenticazione con passkey
Utilizziamo le passkey FIDO2 come autenticazione primaria. Questo significa niente password da rubare con phishing, niente codici SMS da intercettare, e niente seed phrase da esporre.
Approvazione dei prelievi
Le richieste di prelievo sono soggette a ritardi temporali e notifiche che ti danno tempo di reagire se una richiesta non proviene da te.
Destinazioni salvate
I prelievi possono essere limitati a indirizzi pre-approvati. L'aggiunta di nuovi indirizzi richiede verifica avanzata ed è soggetta a un periodo di attesa.
Gestione delle sessioni
Puoi vedere tutte le sessioni attive, disconnettere dispositivi sconosciuti e limitare la durata delle sessioni. Non conserviamo login persistenti senza il tuo permesso.
Log delle attività
La cronologia completa delle attività dell'account è disponibile in qualsiasi momento. Puoi vedere esattamente quando è stato effettuato l'accesso al tuo account e quali azioni sono state eseguite.
Sicurezza operativa
I controlli tecnici sono solo metà dell'equazione. L'altra metà è come lavoriamo quotidianamente.
Separazione dei compiti
Nessuna singola persona può completare operazioni sensibili. Le azioni critiche richiedono l'approvazione di più membri del team in ruoli diversi.
Principio del privilegio minimo
Il personale ha accesso solo ai sistemi necessari per il proprio lavoro attuale. Gli accessi vengono rivisti regolarmente e revocati quando non più necessari.
Procedure documentate
Tutte le operazioni relative alla sicurezza seguono procedure scritte. Checklist e approvazioni creano una traccia di audit e prevengono scorciatoie.
Verifiche dei precedenti
Tutto il personale con accesso a sistemi sensibili è sottoposto a verifiche approfondite e verifica continua.
Come manteniamo la disciplina
La sicurezza non è una funzionalità; è una pratica. Ecco come manteniamo gli standard:
Focus ristretto
Offriamo solo custodia di bitcoin. Niente prestiti, niente trading, niente protocolli sperimentali. Ogni servizio che potremmo aggiungere è superficie di attacco che scegliamo di non mantenere.
Sicurezza prima della velocità
I miglioramenti alla sicurezza non vengono mai ritardati per tempistiche commerciali. Se l'implementazione corretta richiede più tempo, ci prendiamo quel tempo.
Revisioni di routine
Conduciamo valutazioni di sicurezza regolari, penetration test e audit. I risultati alimentano la nostra roadmap; nulla viene archiviato e dimenticato.
Scetticismo verso le novità
Le nuove tecnologie vengono esaminate approfonditamente prima dell'adozione. Preferiamo approcci consolidati a quelli emergenti, a meno che il vantaggio in termini di sicurezza non sia evidente.
Divulgazione responsabile
Accogliamo la segnalazione responsabile di vulnerabilità di sicurezza. Se ritieni di aver trovato un problema, vogliamo saperlo.
Come segnalare
Invia informazioni dettagliate su potenziali vulnerabilità a security@ficha.com.
Per comunicazioni crittografate, puoi usare la nostra chiave PGP disponibile su pgp-key.txt.
Cosa chiediamo
- Concedici un tempo ragionevole per indagare e correggere prima di qualsiasi divulgazione pubblica
- Non testare in modo da degradare i servizi o accedere ai dati di altri clienti
- Includi istruzioni passo-passo per riprodurre il problema
- Comunicaci come preferisci essere informato sull'esito
- Agisci in buona fede e con ragionevole considerazione per la privacy e la sicurezza
Cosa ci impegniamo a fare
- Confermare la ricezione della tua segnalazione entro due giorni lavorativi
- Tenerti aggiornato sullo stato di avanzamento dell'indagine
- Riconoscere il tuo contributo (se lo desideri) una volta risolto il problema
- Non intraprendere azioni legali contro i ricercatori che rispettano questa policy
Programma bug bounty
Offriamo ricompense per le scoperte di sicurezza qualificate, in base a gravità e impatto. I dettagli vengono forniti come parte del processo di divulgazione.
Porto sicuro
La ricerca sulla sicurezza condotta in buona fede seguendo queste linee guida è autorizzata da noi. Non intraprenderemo azioni legali né presenteremo denunce per violazioni involontarie di questa policy, a condizione che tu rispetti le condizioni sopra descritte.
Le informazioni in formato leggibile dalle macchine sono disponibili su security.txt in conformità con RFC 9116.
Se hai domande sulle nostre pratiche di sicurezza, non esitare a contattarci.
