Taviz vermeden güvenlik.
Birikimlerini tanımadıkları bir kuruluşa emanet etmeyen insanlar için bitcoin saklıyoruz. Size ait olanı nasıl koruduğumuzu açıklıyoruz.
Yaklaşımımız, kanıtlanmış kriptografik ilkeleri operasyonel disiplinle birleştirir. Her sistem, müşterilerimiz için erişilebilirliği korurken saldırılara dayanacak şekilde tasarlanmıştır.
Bitcoin'i nasıl saklıyoruz
Hava boşluklu soğuk depolama
Özel anahtarlar, hiçbir zaman internete veya başka ağlara bağlanmamış cihazlarda çevrimdışı olarak oluşturulur ve saklanır. İşlem imzalama fiziksel izolasyonda gerçekleşir.
Çoklu imza saklama
Para çekme işlemleri, farklı konumlarda farklı personel tarafından tutulan anahtarlardan gelen birden fazla bağımsız imza gerektirir. Hiçbir tek çalışan veya konum fonları tek başına taşıyamaz.
Coğrafi dağıtım
Anahtar materyali birden fazla yargı alanına dağıtılmıştır, böylece hiçbir yerel olay — doğal afet veya politik durum olsun — müşteri varlıklarına erişim kapasitemizi tehlikeye atamaz.
Donanım güvenlik modülleri
Kritik kriptografik işlemler, özel anahtarları dışa aktarılamaz hale getiren ve erişim kontrollerini uygulayan kurcalamaya dayanıklı donanım içinde gerçekleşir.
Sıfır güven mimarisi
Sistemlerimizdeki her eylem kimlik doğrulama ve yetkilendirme gerektirir. Güvenilen bölge yoktur — yalnızca politikayı karşılayan doğrulanmış istekler vardır.
Sürekli izleme
Tüm sistemler anomaliler için 7/24 izlenir. Şüpheli aktivite, devam etmeden önce manuel doğrulama gerektiren anında kilitlemeleri tetikler.
Hesap güvenliği
Passkey kimlik doğrulaması
Birincil kimlik doğrulama olarak FIDO2 passkey'leri kullanıyoruz. Bu, kimlik avı yapılacak şifre yok, ele geçirilecek SMS kodu yok ve ifşa edilecek seed phrase yok demektir.
Para çekme onayı
Para çekme talepleri, talep sizden gelmiyorsa tepki vermeniz için zaman tanıyan zaman gecikmeleri ve bildirimlere tabidir.
Kayıtlı hedefler
Para çekme işlemleri önceden onaylanmış adreslerle sınırlandırılabilir. Yeni adres eklemek gelişmiş doğrulama gerektirir ve bekleme süresine tabidir.
Oturum yönetimi
Tüm aktif oturumları görebilir, bilinmeyen cihazları oturumdan çıkarabilir ve oturum süresini sınırlayabilirsiniz. İzniniz olmadan kalıcı girişleri saklamıyoruz.
Aktivite günlükleri
Tam hesap aktivite geçmişi her zaman kullanılabilir. Hesabınıza ne zaman erişildiğini ve hangi işlemlerin yapıldığını tam olarak görebilirsiniz.
Operasyonel güvenlik
Teknik kontroller denklemin sadece yarısıdır. Diğer yarısı günlük nasıl çalıştığımızdır.
Görev ayrımı
Hiçbir tek kişi hassas operasyonları tamamlayamaz. Kritik eylemler, farklı rollerdeki birden fazla ekip üyesinin onayını gerektirir.
En az ayrıcalık ilkesi
Personel yalnızca mevcut işleri için ihtiyaç duydukları sistemlere erişebilir. Erişim düzenli olarak gözden geçirilir ve artık gerekli olmadığında iptal edilir.
Belgelenmiş prosedürler
Güvenlikle ilgili tüm operasyonlar yazılı prosedürleri takip eder. Kontrol listeleri ve onaylar denetim izi oluşturur ve kestirmeleri önler.
Geçmiş kontrolü
Hassas sistemlere erişimi olan tüm personel kapsamlı geçmiş kontrolü ve sürekli doğrulamaya tabidir.
Disiplini nasıl koruyoruz
Güvenlik bir özellik değildir; bir pratiktir. Standartları nasıl koruduğumuz:
Dar odak
Sadece bitcoin saklama hizmeti sunuyoruz. Kredi yok, alım satım yok, deneysel protokoller yok. Ekleyebileceğimiz her hizmet, sürdürmemeyi seçtiğimiz bir saldırı yüzeyidir.
Hızdan önce güvenlik
Güvenlik iyileştirmeleri ticari takvimler için asla ertelenmez. Doğru uygulama daha fazla zaman gerektiriyorsa, o zamanı alırız.
Rutin incelemeler
Düzenli güvenlik değerlendirmeleri, sızma testleri ve denetimler yapıyoruz. Sonuçlar yol haritamıza beslenir; hiçbir şey rafa kaldırılmaz.
Yeniliğe şüphecilik
Yeni teknolojiler benimsenmeden önce kapsamlı bir şekilde incelenir. Güvenlik faydası net olmadıkça gelişmekte olan yaklaşımlar yerine kanıtlanmış yaklaşımları tercih ederiz.
Sorumlu açıklama
Güvenlik açıklarının sorumlu bir şekilde bildirilmesini memnuniyetle karşılıyoruz. Bir sorun bulduğunuzu düşünüyorsanız, bunu duymak istiyoruz.
Nasıl bildirilir
Potansiyel güvenlik açıkları hakkında ayrıntılı bilgileri şuraya gönderin: security@ficha.com.
Şifreli iletişim için şu adreste bulunan PGP anahtarımızı kullanabilirsiniz: pgp-key.txt.
İsteklerimiz
- Kamuya açıklamadan önce araştırma ve düzeltme için bize makul süre tanıyın
- Hizmetleri bozan veya diğer müşterilerin verilerine erişen şekillerde test etmeyin
- Sorunu yeniden oluşturmak için adım adım talimatlar ekleyin
- Sonuç hakkında nasıl bilgilendirilmek istediğinizi bize bildirin
- İyi niyetle ve gizlilik ile güvenliğe makul özen göstererek hareket edin
Taahhütlerimiz
- Raporunuzun alındığını iki iş günü içinde onaylayacağız
- Soruşturmanın ilerleyişi hakkında sizi bilgilendireceğiz
- Sorun çözüldükten sonra katkınızı tanıyacağız (isterseniz)
- Bu politikaya uyan araştırmacılara karşı yasal işlem başlatmayacağız
Hata ödül programı
Ciddiyet ve etkiye bağlı olarak nitelikli güvenlik bulguları için ödüller sunuyoruz. Ayrıntılar açıklama sürecinin bir parçası olarak sağlanır.
Güvenli liman
Bu yönergelere uygun olarak iyi niyetle yürütülen güvenlik araştırması bizim tarafımızdan yetkilendirilmiştir. Yukarıda açıklanan koşullara uyduğunuz sürece istemeden politika ihlalleri için yasal işlem başlatmayacağız veya şikayette bulunmayacağız.
Makine tarafından okunabilir formattaki bilgiler şu adreste mevcuttur: security.txt RFC 9116'ya uygun.
Güvenlik uygulamalarımız hakkında sorularınız varsa, istediğiniz zaman bize ulaşabilirsiniz.
