본문으로 건너뛰기

타협 없는 보안.

저희는 자신의 저축을 알지 못하는 기관에 맡기지 않는 분들을 위해 비트코인을 보관합니다. 귀하의 자산을 어떻게 보호하는지 알려드립니다.

저희의 접근 방식은 검증된 암호학적 원칙과 운영 규율을 결합합니다. 모든 시스템은 고객 접근성을 유지하면서 공격에 견딜 수 있도록 설계되었습니다.

비트코인 보관 방법

에어갭 콜드 스토리지

개인 키는 인터넷이나 다른 네트워크에 연결된 적이 없는 장치에서 오프라인으로 생성 및 저장됩니다. 거래 서명은 물리적으로 격리된 환경에서 이루어집니다.

멀티시그 보관

출금에는 서로 다른 위치에서 서로 다른 담당자가 보유한 키의 여러 독립적인 서명이 필요합니다. 단일 직원이나 위치만으로는 자금을 이동할 수 없습니다.

지리적 분산

키 자료는 여러 관할권에 분산되어 있어 자연재해든 정치적 상황이든 어떤 지역적 사건도 고객 자산 접근 능력을 손상시킬 수 없도록 보장합니다.

하드웨어 보안 모듈

중요한 암호화 작업은 개인 키를 내보낼 수 없게 하고 접근 제어를 시행하는 변조 방지 하드웨어 내에서 수행됩니다.

제로 트러스트 아키텍처

시스템 내의 모든 작업에는 인증과 권한 부여가 필요합니다. 신뢰할 수 있는 영역은 없으며, 정책을 충족하는 검증된 요청만 처리됩니다.

지속적 모니터링

모든 시스템은 이상 징후를 24시간 모니터링합니다. 의심스러운 활동은 즉시 잠금을 유발하며, 계속 진행하려면 수동 검증이 필요합니다.

계정 보안

패스키 인증

FIDO2 패스키를 기본 인증으로 사용합니다. 피싱당할 비밀번호도, 가로챌 SMS 코드도, 노출될 시드 문구도 없습니다.

출금 승인

출금 요청에는 시간 지연과 알림이 적용되어 요청이 본인의 것이 아닐 경우 대응할 시간을 드립니다.

저장된 목적지

출금은 사전 승인된 주소로 제한할 수 있습니다. 새 주소 추가에는 강화된 인증이 필요하며 대기 기간이 적용됩니다.

세션 관리

모든 활성 세션을 확인하고, 알 수 없는 장치를 로그아웃시키고, 세션 기간을 제한할 수 있습니다. 귀하의 허락 없이 지속적인 로그인을 저장하지 않습니다.

활동 로그

전체 계정 활동 기록을 언제든지 확인할 수 있습니다. 계정에 언제 접근했고 어떤 작업이 수행되었는지 정확히 확인할 수 있습니다.

운영 보안

기술적 통제는 방정식의 절반에 불과합니다. 나머지 절반은 우리가 매일 어떻게 운영하느냐입니다.

업무 분리

단일 개인이 민감한 작업을 완료할 수 없습니다. 중요한 작업에는 서로 다른 역할의 여러 팀원의 승인이 필요합니다.

최소 권한 원칙

직원은 현재 업무에 필요한 시스템에만 접근할 수 있습니다. 접근 권한은 정기적으로 검토되며 더 이상 필요하지 않으면 취소됩니다.

문서화된 절차

모든 보안 관련 작업은 문서화된 절차를 따릅니다. 체크리스트와 승인은 감사 추적을 생성하고 지름길을 방지합니다.

신원 조회

민감한 시스템에 접근하는 모든 직원은 철저한 신원 조회와 지속적인 검증을 받습니다.

규율 유지 방법

보안은 기능이 아닙니다. 그것은 실천입니다. 우리가 기준을 유지하는 방법은 다음과 같습니다:

좁은 집중

저희는 비트코인 보관만 제공합니다. 대출, 거래, 실험적 프로토콜은 없습니다. 추가할 수 있는 모든 서비스는 우리가 유지하지 않기로 선택한 공격 표면입니다.

속도보다 안전

보안 개선은 상업적 일정 때문에 지연되지 않습니다. 올바른 구현에 더 많은 시간이 필요하면 그 시간을 사용합니다.

정기 검토

정기적인 보안 평가, 침투 테스트 및 감사를 수행합니다. 결과는 로드맵에 반영되며, 아무것도 서랍 속에 방치되지 않습니다.

새로움에 대한 회의

새로운 기술은 채택 전에 철저히 검토됩니다. 보안상의 이점이 명확하지 않은 한 신흥 접근 방식보다 검증된 접근 방식을 선호합니다.

책임있는 공개

보안 취약점의 책임있는 보고를 환영합니다. 문제를 발견했다고 생각하시면 알려주세요.

보고 방법

잠재적 취약점에 대한 자세한 정보를 다음으로 보내주세요: security@ficha.com.

암호화된 통신의 경우 다음에서 사용 가능한 PGP 키를 사용할 수 있습니다: pgp-key.txt.

부탁드리는 사항

  • 공개 전에 조사하고 수정할 합리적인 시간을 주세요
  • 서비스를 저하시키거나 다른 고객의 데이터에 접근하는 방식으로 테스트하지 마세요
  • 문제를 재현하기 위한 단계별 지침을 포함해 주세요
  • 결과에 대해 어떻게 알림받고 싶은지 알려주세요
  • 선의로 행동하고 개인 정보 보호 및 보안에 합리적인 배려를 해주세요

우리의 약속

  • 영업일 기준 2일 이내에 보고서 접수를 확인합니다
  • 조사 진행 상황을 알려드립니다
  • 문제가 해결되면 원하실 경우 기여를 인정합니다
  • 이 정책을 준수하는 연구자에 대해 법적 조치를 취하지 않습니다

버그 바운티 프로그램

심각도와 영향에 따라 적격 보안 발견에 대해 보상을 제공합니다. 세부 사항은 공개 프로세스의 일부로 제공됩니다.

세이프 하버

이 가이드라인에 따라 선의로 수행되는 보안 연구는 당사의 승인을 받습니다. 위에 설명된 조건을 준수하시는 한 의도치 않은 정책 위반에 대해 법적 조치를 취하거나 불만을 제기하지 않습니다.

기계가 읽을 수 있는 형식의 정보는 다음에서 확인할 수 있습니다: security.txt RFC 9116 준수.

보안 관행에 대해 질문이 있으시면 언제든지 연락해 주세요.

액세스 요청연속성에 대해 자세히 알아보기