本文へ移動

妥協のないセキュリティ。

私たちは、自分の貯蓄を知らない存在に預けない人々のためにビットコインを保管しています。お客様のものをどのように守るかをご説明します。

私たちのアプローチは、実証済みの暗号原理と運用規律を組み合わせています。すべてのシステムは、お客様へのアクセシビリティを維持しながら攻撃に耐えるように設計されています。

ビットコインの保管方法

エアギャップ・コールドストレージ

秘密鍵は、インターネットやその他のネットワークに一度も接続されたことのないデバイスでオフラインで生成・保管されます。トランザクションの署名は物理的に隔離された環境で行われます。

マルチシグ保管

出金には、異なる場所で異なる担当者が保有する鍵からの複数の独立した署名が必要です。単一の従業員や拠点だけで資金を移動することはできません。

地理的分散

暗号鍵素材は複数の法域に分散されており、自然災害や政治的状況などの局所的な事象がお客様の資産へのアクセス能力を損なうことがないようにしています。

ハードウェアセキュリティモジュール

重要な暗号操作は、秘密鍵をエクスポート不可能にし、アクセス制御を実施する耐タンパーハードウェア内で行われます。

ゼロトラストアーキテクチャ

システム内のすべてのアクションには認証と認可が必要です。信頼されるゾーンは存在せず、ポリシーを満たす検証済みのリクエストのみが処理されます。

継続的監視

すべてのシステムは24時間365日異常を監視しています。疑わしい活動は即時ロックダウンをトリガーし、続行するには手動確認が必要です。

アカウントセキュリティ

パスキー認証

FIDO2パスキーをプライマリ認証として使用しています。フィッシングされるパスワードも、傍受されるSMSコードも、露出するシードフレーズもありません。

出金承認

出金リクエストには時間遅延と通知が適用され、リクエストがご本人からでない場合に対応する時間が与えられます。

保存済み送金先

出金は事前承認されたアドレスに制限できます。新しいアドレスの追加には強化された認証が必要で、待機期間が設けられています。

セッション管理

すべてのアクティブなセッションを確認し、不明なデバイスをログアウトさせ、セッション期間を制限できます。お客様の許可なく永続的なログインを保存することはありません。

アクティビティログ

完全なアカウントアクティビティ履歴をいつでも確認できます。アカウントにいつアクセスされ、どのようなアクションが実行されたかを正確に確認できます。

運用セキュリティ

技術的な制御は方程式の半分に過ぎません。残りの半分は、私たちが日々どのように業務を行うかです。

職務分離

単独の個人が機密性の高い操作を完了することはできません。重要なアクションには、異なる役割の複数のチームメンバーによる承認が必要です。

最小権限の原則

スタッフは現在の業務に必要なシステムにのみアクセスできます。アクセス権は定期的に見直され、不要になった場合は取り消されます。

文書化された手順

すべてのセキュリティ関連の操作は書面による手順に従います。チェックリストと承認により監査証跡が作成され、近道が防止されます。

バックグラウンドチェック

機密システムにアクセスするすべてのスタッフは、徹底的なバックグラウンドチェックと継続的な検証を受けます。

規律の維持方法

セキュリティは機能ではありません。それは実践です。私たちが基準を維持する方法は次のとおりです:

狭いフォーカス

私たちはビットコインの保管のみを提供しています。貸付、取引、実験的なプロトコルはありません。追加できるすべてのサービスは、私たちが維持しないことを選択する攻撃対象領域です。

スピードより安全

セキュリティの改善は、商業的なスケジュールのために遅らせることはありません。正しい実装により多くの時間が必要な場合は、その時間をかけます。

定期的なレビュー

定期的なセキュリティ評価、ペネトレーションテスト、監査を実施しています。結果はロードマップに反映され、何も棚上げされることはありません。

新しさへの懐疑

新しい技術は採用前に徹底的に精査されます。セキュリティ上の利点が明確でない限り、新興のアプローチよりも実証済みのアプローチを好みます。

責任ある開示

セキュリティ脆弱性の責任ある報告を歓迎します。問題を発見したと思われる場合は、お知らせください。

報告方法

潜在的な脆弱性に関する詳細情報は以下に送信してください: security@ficha.com.

暗号化された通信には、以下で入手可能なPGP鍵をご使用いただけます: pgp-key.txt.

お願い事項

  • 公開前に調査と修正のための合理的な時間を与えてください
  • サービスを低下させたり、他のお客様のデータにアクセスするようなテストは行わないでください
  • 問題を再現するためのステップバイステップの手順を含めてください
  • 結果についてどのように通知を希望するかお知らせください
  • 誠意を持って、プライバシーとセキュリティに対する合理的な配慮をもって行動してください

私たちのコミットメント

  • 2営業日以内に報告の受領を確認します
  • 調査の進捗状況をお知らせします
  • 問題が解決されたら、ご希望に応じて貢献を認識します
  • このポリシーを遵守する研究者に対して法的措置を取りません

バグバウンティプログラム

重大性と影響に応じて、対象となるセキュリティ発見に対して報奨金を提供しています。詳細は開示プロセスの一環として提供されます。

セーフハーバー

これらのガイドラインに従って誠意を持って行われるセキュリティ研究は、私たちによって許可されています。上記の条件を遵守していただく限り、意図しないポリシー違反に対して法的措置を取ったり、苦情を申し立てたりすることはありません。

機械可読形式の情報は以下で入手可能です: security.txt RFC 9116に準拠。

セキュリティ慣行についてご質問がある場合は、いつでもお問い合わせください。

アクセスを申請継続性について詳しく見る