ข้ามไปยังเนื้อหาหลัก

ความปลอดภัยที่ไม่มีการประนีประนอม

เราเก็บรักษาบิตคอยน์ให้กับผู้ที่ไม่ไว้วางใจเงินออมของตนกับองค์กรที่ไม่รู้จัก นี่คือวิธีที่เราปกป้องสิ่งที่เป็นของคุณ

แนวทางของเราผสมผสานหลักการเข้ารหัสที่พิสูจน์แล้วกับวินัยการดำเนินงาน ทุกระบบได้รับการออกแบบเพื่อต้านทานการโจมตีในขณะที่ยังคงรักษาการเข้าถึงสำหรับลูกค้าของเรา

วิธีที่เราเก็บรักษาบิตคอยน์

การเก็บรักษาแบบเย็นที่แยกจากเครือข่าย

กุญแจส่วนตัวถูกสร้างและจัดเก็บแบบออฟไลน์บนอุปกรณ์ที่ไม่เคยเชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่ายอื่นใด การลงนามธุรกรรมเกิดขึ้นในการแยกตัวทางกายภาพ

การเก็บรักษาแบบหลายลายเซ็น

การถอนเงินต้องการลายเซ็นอิสระหลายรายการจากกุญแจที่เก็บในสถานที่ต่างกันโดยบุคลากรที่แตกต่างกัน ไม่มีพนักงานคนเดียวหรือสถานที่เดียวที่สามารถย้ายเงินได้ด้วยตัวเอง

การกระจายทางภูมิศาสตร์

วัสดุกุญแจกระจายอยู่ในหลายเขตอำนาจศาล เพื่อให้แน่ใจว่าไม่มีเหตุการณ์ในท้องถิ่นใด ไม่ว่าจะเป็นภัยธรรมชาติหรือสถานการณ์ทางการเมือง จะสามารถทำลายความสามารถของเราในการเข้าถึงสินทรัพย์ของลูกค้า

โมดูลความปลอดภัยฮาร์ดแวร์

การดำเนินการเข้ารหัสที่สำคัญเกิดขึ้นภายในฮาร์ดแวร์ที่ป้องกันการงัดแงะ ซึ่งทำให้กุญแจส่วนตัวไม่สามารถส่งออกได้และบังคับใช้การควบคุมการเข้าถึง

สถาปัตยกรรมความไว้วางใจเป็นศูนย์

ทุกการกระทำในระบบของเราต้องมีการยืนยันตัวตนและการอนุญาต ไม่มีโซนที่เชื่อถือได้ มีเพียงคำขอที่ได้รับการยืนยันซึ่งตรงตามนโยบาย

การเฝ้าระวังอย่างต่อเนื่อง

ระบบทั้งหมดได้รับการตรวจสอบตลอด 24 ชั่วโมงเพื่อหาความผิดปกติ กิจกรรมที่น่าสงสัยจะทริกเกอร์การล็อคทันที ซึ่งต้องมีการตรวจสอบด้วยตนเองก่อนดำเนินการต่อ

ความปลอดภัยของบัญชี

การยืนยันตัวตนด้วย Passkey

เราใช้ FIDO2 passkeys เป็นการยืนยันตัวตนหลัก ซึ่งหมายความว่าไม่มีรหัสผ่านให้ฟิชชิ่ง ไม่มีรหัส SMS ให้ดักจับ และไม่มี seed phrase ให้เปิดเผย

การอนุมัติการถอนเงิน

คำขอถอนเงินมีการหน่วงเวลาและการแจ้งเตือนที่ให้เวลาคุณตอบสนองหากคำขอไม่ได้มาจากคุณ

ปลายทางที่บันทึกไว้

การถอนเงินสามารถจำกัดเฉพาะที่อยู่ที่ได้รับการอนุมัติล่วงหน้า การเพิ่มที่อยู่ใหม่ต้องมีการยืนยันขั้นสูงและมีระยะเวลารอคอย

การจัดการเซสชัน

คุณสามารถดูเซสชันที่ใช้งานอยู่ทั้งหมด ล็อกเอาท์อุปกรณ์ที่ไม่รู้จัก และจำกัดระยะเวลาเซสชัน เราไม่เก็บการล็อกอินถาวรโดยไม่ได้รับอนุญาตจากคุณ

บันทึกกิจกรรม

ประวัติกิจกรรมบัญชีที่สมบูรณ์พร้อมให้ดูได้ตลอดเวลา คุณสามารถดูได้อย่างแม่นยำว่าบัญชีของคุณถูกเข้าถึงเมื่อไหร่และมีการดำเนินการอะไรบ้าง

ความปลอดภัยในการดำเนินงาน

การควบคุมทางเทคนิคเป็นเพียงครึ่งหนึ่งของสมการ อีกครึ่งหนึ่งคือวิธีที่เราทำงานในแต่ละวัน

การแยกหน้าที่

ไม่มีบุคคลคนเดียวที่สามารถทำการดำเนินการที่ละเอียดอ่อนได้ การดำเนินการที่สำคัญต้องได้รับการอนุมัติจากสมาชิกในทีมหลายคนในบทบาทที่แตกต่างกัน

หลักการให้สิทธิ์น้อยที่สุด

พนักงานสามารถเข้าถึงได้เฉพาะระบบที่จำเป็นสำหรับงานปัจจุบันเท่านั้น การเข้าถึงได้รับการตรวจสอบเป็นประจำและถูกเพิกถอนเมื่อไม่จำเป็นอีกต่อไป

ขั้นตอนที่เป็นเอกสาร

การดำเนินการที่เกี่ยวข้องกับความปลอดภัยทั้งหมดเป็นไปตามขั้นตอนที่เป็นลายลักษณ์อักษร รายการตรวจสอบและการอนุมัติสร้างร่องรอยการตรวจสอบและป้องกันการลัดขั้นตอน

การตรวจสอบประวัติ

พนักงานทุกคนที่เข้าถึงระบบที่ละเอียดอ่อนต้องผ่านการตรวจสอบประวัติอย่างละเอียดและการยืนยันอย่างต่อเนื่อง

วิธีที่เรารักษาวินัย

ความปลอดภัยไม่ใช่คุณสมบัติ แต่เป็นการปฏิบัติ นี่คือวิธีที่เรารักษามาตรฐาน:

โฟกัสแคบ

เราให้บริการเฉพาะการเก็บรักษาบิตคอยน์เท่านั้น ไม่มีการให้ยืม ไม่มีการซื้อขาย ไม่มีโปรโตคอลทดลอง บริการทุกอย่างที่เราอาจเพิ่มคือพื้นผิวการโจมตีที่เราเลือกที่จะไม่รักษา

ความปลอดภัยก่อนความเร็ว

การปรับปรุงความปลอดภัยไม่เคยถูกเลื่อนออกไปเพราะตารางเวลาทางธุรกิจ หากการดำเนินการที่ถูกต้องต้องใช้เวลามากขึ้น เราใช้เวลานั้น

การตรวจสอบตามปกติ

เราดำเนินการประเมินความปลอดภัย การทดสอบการเจาะระบบ และการตรวจสอบเป็นประจำ ผลลัพธ์ส่งผลต่อแผนงานของเรา ไม่มีอะไรถูกเก็บไว้บนชั้น

ความสงสัยต่อสิ่งใหม่

เทคโนโลยีใหม่ได้รับการตรวจสอบอย่างละเอียดก่อนนำมาใช้ เราชอบแนวทางที่พิสูจน์แล้วมากกว่าแนวทางที่เกิดใหม่ เว้นแต่ประโยชน์ด้านความปลอดภัยจะชัดเจน

การเปิดเผยอย่างรับผิดชอบ

เรายินดีต้อนรับการรายงานช่องโหว่ด้านความปลอดภัยอย่างรับผิดชอบ หากคุณเชื่อว่าพบปัญหา เราต้องการทราบ

วิธีรายงาน

ส่งข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นไปที่ security@ficha.com.

สำหรับการสื่อสารที่เข้ารหัส คุณสามารถใช้กุญแจ PGP ของเราที่มีอยู่ที่ pgp-key.txt.

สิ่งที่เราขอ

  • ให้เราเวลาที่เหมาะสมในการสอบสวนและแก้ไขก่อนการเปิดเผยต่อสาธารณะ
  • อย่าทดสอบในลักษณะที่ทำให้บริการเสื่อมโทรมหรือเข้าถึงข้อมูลของลูกค้าอื่น
  • รวมคำแนะนำทีละขั้นตอนเพื่อทำซ้ำปัญหา
  • บอกเราว่าคุณต้องการรับแจ้งผลลัพธ์อย่างไร
  • ดำเนินการโดยสุจริตและคำนึงถึงความเป็นส่วนตัวและความปลอดภัยอย่างเหมาะสม

สิ่งที่เรารับปาก

  • ยืนยันการรับรายงานของคุณภายในสองวันทำการ
  • แจ้งให้คุณทราบเกี่ยวกับความคืบหน้าของการสอบสวน
  • ยอมรับการมีส่วนร่วมของคุณ (ถ้าต้องการ) เมื่อปัญหาได้รับการแก้ไข
  • ไม่ดำเนินการทางกฎหมายกับนักวิจัยที่ปฏิบัติตามนโยบายนี้

โปรแกรมรางวัลบัก

เราเสนอรางวัลสำหรับการค้นพบด้านความปลอดภัยที่มีคุณสมบัติ ขึ้นอยู่กับความรุนแรงและผลกระทบ รายละเอียดจะให้ในกระบวนการเปิดเผย

ท่าเรือปลอดภัย

การวิจัยด้านความปลอดภัยที่ดำเนินการโดยสุจริตตามแนวทางเหล่านี้ได้รับอนุญาตจากเรา เราจะไม่ดำเนินการทางกฎหมายหรือยื่นเรื่องร้องเรียนสำหรับการละเมิดนโยบายโดยไม่ตั้งใจตราบใดที่คุณปฏิบัติตามเงื่อนไขที่อธิบายไว้ข้างต้น

ข้อมูลในรูปแบบที่เครื่องอ่านได้มีอยู่ที่ security.txt ตาม RFC 9116

หากคุณมีคำถามเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยของเรา โปรดติดต่อเราได้ทุกเมื่อ

ขอการเข้าถึงเรียนรู้เพิ่มเติมเกี่ยวกับความต่อเนื่อง