Bảo mật không thỏa hiệp.
Chúng tôi lưu giữ bitcoin cho những người không giao phó tiền tiết kiệm của họ cho một tổ chức không quen biết. Đây là cách chúng tôi bảo vệ những gì thuộc về bạn.
Phương pháp của chúng tôi kết hợp các nguyên tắc mật mã đã được chứng minh với kỷ luật vận hành. Mọi hệ thống đều được thiết kế để chống lại các cuộc tấn công trong khi vẫn duy trì khả năng truy cập cho khách hàng.
Cách chúng tôi lưu giữ bitcoin
Lưu trữ lạnh cách ly
Khóa riêng được tạo và lưu trữ ngoại tuyến trên các thiết bị chưa bao giờ được kết nối với internet hoặc bất kỳ mạng nào khác. Việc ký giao dịch diễn ra trong môi trường cách ly vật lý.
Lưu ký đa chữ ký
Việc rút tiền yêu cầu nhiều chữ ký độc lập từ các khóa được giữ ở các địa điểm khác nhau bởi nhân sự khác nhau. Không có nhân viên hoặc địa điểm đơn lẻ nào có thể tự mình di chuyển tiền.
Phân bố địa lý
Vật liệu khóa được phân bố trên nhiều khu vực pháp lý, đảm bảo rằng không có sự kiện địa phương nào — dù là thiên tai hay tình hình chính trị — có thể ảnh hưởng đến khả năng truy cập tài sản khách hàng của chúng tôi.
Mô-đun bảo mật phần cứng
Các hoạt động mật mã quan trọng diễn ra bên trong phần cứng chống giả mạo, làm cho khóa riêng không thể xuất và thực thi các kiểm soát truy cập.
Kiến trúc không tin cậy
Mọi hành động trong hệ thống của chúng tôi đều yêu cầu xác thực và ủy quyền. Không có vùng đáng tin cậy — chỉ có các yêu cầu đã được xác minh đáp ứng chính sách.
Giám sát liên tục
Tất cả hệ thống được giám sát 24/7 để phát hiện bất thường. Hoạt động đáng ngờ kích hoạt khóa ngay lập tức yêu cầu xác minh thủ công trước khi tiếp tục.
Bảo mật tài khoản
Xác thực bằng passkey
Chúng tôi sử dụng passkey FIDO2 làm phương thức xác thực chính. Điều này có nghĩa là không có mật khẩu để lừa đảo, không có mã SMS để chặn, và không có seed phrase để lộ.
Phê duyệt rút tiền
Yêu cầu rút tiền phải tuân theo độ trễ thời gian và thông báo cho bạn thời gian để phản ứng nếu yêu cầu không đến từ bạn.
Địa chỉ đã lưu
Việc rút tiền có thể được giới hạn ở các địa chỉ đã được phê duyệt trước. Việc thêm địa chỉ mới yêu cầu xác minh nâng cao và phải chờ đợi một khoảng thời gian.
Quản lý phiên
Bạn có thể xem tất cả các phiên đang hoạt động, đăng xuất khỏi các thiết bị không xác định và giới hạn thời gian phiên. Chúng tôi không lưu đăng nhập liên tục mà không có sự cho phép của bạn.
Nhật ký hoạt động
Lịch sử hoạt động tài khoản đầy đủ có sẵn bất cứ lúc nào. Bạn có thể xem chính xác khi nào tài khoản của bạn được truy cập và những hành động nào đã được thực hiện.
Bảo mật vận hành
Kiểm soát kỹ thuật chỉ là một nửa phương trình. Nửa còn lại là cách chúng tôi vận hành hàng ngày.
Phân tách nhiệm vụ
Không có cá nhân đơn lẻ nào có thể hoàn thành các hoạt động nhạy cảm. Các hành động quan trọng yêu cầu sự phê duyệt từ nhiều thành viên trong nhóm ở các vai trò khác nhau.
Nguyên tắc quyền hạn tối thiểu
Nhân viên chỉ có quyền truy cập vào các hệ thống họ cần cho công việc hiện tại. Quyền truy cập được xem xét định kỳ và thu hồi khi không còn cần thiết.
Quy trình được lập thành văn bản
Tất cả các hoạt động liên quan đến bảo mật tuân theo các quy trình bằng văn bản. Danh sách kiểm tra và phê duyệt tạo ra dấu vết kiểm toán và ngăn chặn việc đi tắt.
Kiểm tra lý lịch
Tất cả nhân viên có quyền truy cập vào các hệ thống nhạy cảm đều phải trải qua kiểm tra lý lịch kỹ lưỡng và xác minh liên tục.
Cách chúng tôi duy trì kỷ luật
Bảo mật không phải là một tính năng; đó là một thực hành. Đây là cách chúng tôi duy trì các tiêu chuẩn:
Tập trung hẹp
Chúng tôi chỉ cung cấp dịch vụ lưu giữ bitcoin. Không cho vay, không giao dịch, không giao thức thử nghiệm. Mỗi dịch vụ chúng tôi có thể thêm là một bề mặt tấn công mà chúng tôi chọn không duy trì.
An toàn trước tốc độ
Các cải tiến bảo mật không bao giờ bị trì hoãn vì lịch trình thương mại. Nếu việc triển khai đúng cách cần nhiều thời gian hơn, chúng tôi sẽ dành thời gian đó.
Đánh giá định kỳ
Chúng tôi thực hiện đánh giá bảo mật định kỳ, kiểm tra xâm nhập và kiểm toán. Kết quả được đưa vào lộ trình của chúng tôi; không có gì bị bỏ qua.
Hoài nghi với sự mới lạ
Công nghệ mới được xem xét kỹ lưỡng trước khi áp dụng. Chúng tôi ưu tiên các phương pháp đã được chứng minh hơn các phương pháp mới nổi trừ khi lợi ích bảo mật rõ ràng.
Tiết lộ có trách nhiệm
Chúng tôi hoan nghênh việc báo cáo có trách nhiệm các lỗ hổng bảo mật. Nếu bạn tin rằng bạn đã tìm thấy một vấn đề, chúng tôi muốn biết.
Cách báo cáo
Gửi thông tin chi tiết về các lỗ hổng tiềm ẩn đến security@ficha.com.
Để liên lạc được mã hóa, bạn có thể sử dụng khóa PGP của chúng tôi có sẵn tại pgp-key.txt.
Những gì chúng tôi yêu cầu
- Cho chúng tôi thời gian hợp lý để điều tra và sửa chữa trước khi tiết lộ công khai
- Không kiểm tra theo cách làm suy giảm dịch vụ hoặc truy cập dữ liệu của khách hàng khác
- Bao gồm hướng dẫn từng bước để tái tạo vấn đề
- Cho chúng tôi biết bạn muốn được thông báo về kết quả như thế nào
- Hành động với thiện chí và sự quan tâm hợp lý đến quyền riêng tư và bảo mật
Những gì chúng tôi cam kết
- Xác nhận nhận báo cáo của bạn trong vòng hai ngày làm việc
- Cập nhật cho bạn về tiến độ điều tra
- Ghi nhận đóng góp của bạn (nếu muốn) khi vấn đề được giải quyết
- Không thực hiện hành động pháp lý chống lại các nhà nghiên cứu tuân thủ chính sách này
Chương trình thưởng lỗi
Chúng tôi cung cấp phần thưởng cho các phát hiện bảo mật đủ điều kiện, tùy thuộc vào mức độ nghiêm trọng và tác động. Chi tiết được cung cấp như một phần của quy trình tiết lộ.
Bến đỗ an toàn
Nghiên cứu bảo mật được thực hiện một cách thiện chí theo các hướng dẫn này được chúng tôi ủy quyền. Chúng tôi sẽ không thực hiện hành động pháp lý hoặc nộp đơn khiếu nại về việc vi phạm chính sách vô ý miễn là bạn tuân thủ các điều kiện được mô tả ở trên.
Thông tin ở định dạng máy có thể đọc được có sẵn tại security.txt theo RFC 9116.
Nếu bạn có câu hỏi về các thực hành bảo mật của chúng tôi, vui lòng liên hệ với chúng tôi bất cứ lúc nào.
