Praktyki dotyczące bezpieczeństwa

CoinDeal stawia na najwyższe standardy dotyczące bezpieczeństwa. Jesteśmy dumni, że przyczyniamy się do tworzenia standardów bezpieczeństwa na cały Krypto-świat. Poniżej przeczytasz o tym, co czyni CoinDeal tak wyjątkową platformą.


DZIAŁANIA OPERACYJNE W SZWAJCARII

Pomimo że musimy czekać około dwóch lat na uzyskanie pozwolenia na oficjalną działalność w Szwajcarii, w międzyczasie korzystamy już z naszego biura, zlokalizowanego tam dla niektórych naszych operacji:

  • Przechowywanie kluczy do cold walletów w depozytach szwajcarskich banków
  • Zabezpieczanie środków giełdy w szwajcarskich bankach (jednak jeszcze nie funduszy użytkowników - aby to zrobić, musimy najpierw uzyskać licencję).


ŚRODKI UŻYTKOWNIKÓW A STANDARDY BEZPIECZEŃSTWA

Nasza firma posiada rachunek bankowy wyłącznie do przyjmowania funduszy klientów (EURO). Jest to możliwe, ponieważ mamy ponad roczną historię sprzedaży Bitcoina klientom (pod marką Verified Solutions Ltd. na stronie BuyCoinNow.com) - z obrotami przekraczającymi 10 milionów dolarów (obecnie około 1,5 miliona USD miesięcznie).

\


KRYPTOWALUTY A STANDARDY BEZPIECZEŃSTWA

Hakerzy nie mają absolutnie żadnej możliwości kradzieży pieniędzy z naszej platformy. Nie jest to możliwe ani dla hakera, ani dla osób wewnątrz giełdy (takich jak programista, devops czy administrator, nawet dla zarządu firmy). Dlatego, że:

  • Zdecydowaliśmy się na zbudowanie naszego systemu z wykorzystaniem architektury mikroserwisów. To oznacza, że nasz system zbudowany jest z wielu niezależnych elementów. Są utrzymywane przez oddzielne zespoły i żadna osoba nie ma dostępu do wszystkich modułów.
  • Naszą innowacją jest to, że każdy moduł podpisuje (w sposób podobny do tego, co dzieje się na blockchain) każde żądanie (z jego kluczem prywatnym). Inne moduły znają swój klucz publiczny, aby sprawdzić, czy podpis jest poprawny. Jeśli brakuje jakiegoś podpisu, inne moduły nie zaakceptują takiego żądania. Dlatego, nawet jeśli ktoś narusza system, ale ma dostęp do wszystkich modułów oprócz jednego, nie może kompletnie nic zrobić.
  • Niektóre moduły wymagają danych wprowadzanych przez użytkownika, takich jak potwierdzenie e-mail lub OTP, w których tylko użytkownik zna właściwą odpowiedź. Tak więc nikt nie może dokonać wypłaty z konta użytkownika bez zgody tego użytkownika - nawet administrator.


STANDARDY BEZPIECZEŃSTWA PŁATNOŚCI PRZYCHODZĄCYCH

  • Już od pierwszego dnia działalności giełda CoinDeal wygenerowała wiele publicznych adresów, umożliwiając płatności i przechowywała klucze prywatne w bezpiecznych miejscach (w tym w bankach szwajcarskich).
  • Podłączono tylko adresy publiczne do systemu komputerowego, bez odpowiednich kluczy prywatnych.
  • System komputerowy monitoruje adresy, aby sprawdzić, czy są jakiekolwiek nowe fundusze. Jeśli tak, przekazujemy środki na konto użytkownika, bez rzeczywistego ruszania ich ani dostępu do nich.
  • Odrębnym systemem komputerowym, bez połączenia z pierwszym, zbierane są fundusze z tych adresów i są wysyłane na adresy wypłat lub cold walletów - w zależności od rodzaju transakcji.
  • Pieniądze są przechowywane na adresach płatności przez nie więcej niż kilka dni (w większości przypadków maksymalnie jest to jeden dzień). Nie ma sposobu, aby ktoś dowiedział się, gdzie znajduje się ten system, a nawet jeśli ktoś to zrobi (lub właściciel/administrator tego systemu zdecyduje się ukraść pieniądze), będą mieli dostęp tylko do przychodzących płatności z jednego dnia (które to będą mniejsze niż 1% funduszy wymiany i natychmiast zostanie to zauważone przez zautomatyzowane systemy).


STANDARDY BEZPIECZEŃSTWA PŁATNOŚCI WYCHODZĄCYCH

  • Za wypłaty odpowiada zewnętrzny system i zawsze żąda podpisów cyfrowych wszystkich modułów.
  • Ponadto używamy adresów podpisów wielokrotnych do wypłat, wymagających dwóch sygnatur blockchain (są to inne podpisy niż te używane przez wewnętrzne moduły systemowe).
  • Można by pomyśleć, że ktoś mógłby włamać się do tego zewnętrznego systemu, ale nie jest to możliwe. Oto dlaczego:
    • jeden system przygotowuje wypłatę podczas sprawdzania wszystkich podpisów (modułów). Jeśli wszystko jest w porządku, wypłata jest przygotowywana i podpisana za pomocą jednego podpisu blockchain
    • inny system, który jest offline (co oznacza, że nie można uzyskać do niego dostępu przez internet), łączy się z internetem przez kilka sekund okresowo, tylko w celu pobrania pliku z przygotowanymi zapłatami (a nawet w tym krótkim okresie czasu nie jest widoczny na zewnątrz). Ten system weryfikuje wszystkie podpisy - nie tylko te z modułów, ale także te z pierwszego systemu. System sprawdza, czy wypłata ma sens - na przykład, jeśli przeniesione środki są stosunkowo niewielkie i jeśli adres należy do giełdy. Jeśli wszystko jest w porządku, następuje wypłata. W przeciwnym razie zażąda ręcznego sprawdzenia od personelu giełdy (dodatkowe kryteria akceptacji). Należy jednak pamiętać, że środki są przechowywane pod wieloma adresami, więc system nie może dokonać wypłaty bez podpisów z punktu a). Nie może modyfikować wypłat wysyłanych z systemu a), ponieważ jest już podpisana, a każda modyfikacja unieważni podpis.

Jak widać, haker musiałby włamać się do wielu systemów, w tym do tego, który jest niedostępny przez internet. Jest to zatem całkowicie niemożliwe.


STANDARDY BEZPIECZEŃSTWA DOTYCZĄCE COLD WALLETÓW

  • Aby mieć absolutną pewność, że sytuacje takie jak straty klucza prywatnego, błędy programistyczne lub awaria systemu są niemożliwe, 90% funduszy jest przechowywanych w trybie OFFLINE i jest poza zasięgiem systemu komputerowego.
  • Do bezpiecznego przechowywania funduszy używamy adresów wymagających pięciu podpisów - minimum trzy z nich są konieczne do wykonania transakcji.
  • Klucze dostępu przypisane są do określonych osób. W związku z tym, gdyby fundusze zostały skradzione, nie byłoby wątpliwości co do tego, która z pięciu osób zatwierdziła transakcję. Każda z nich wymaga zgody przynajmniej trzech z pięciu osób - zapewnia to struktura blockchain.
  • Z dużą ostrożnością wybraliśmy te pięć osób, są to ludzie wielkiej odpowiedzialności. Nie ujawniają, kim są, ale ich klucze publiczne są przechowywane w depozycie banku szwajcarskiego wraz z ich nazwami. Dlatego w przypadku jakichkolwiek wątpliwości zawsze można sprawdzić, kto podpisał konkretny przelew.
  • Okresowo sprawdzamy wszystkie klucze prywatne. W ten sposób możemy właściwie zareagować, jeśli nawet jeden z nich stracił dostęp do swoich kluczy.

System ten jest używany przez największe giełdy kryptowalut, takie jak Bitfinex. To najbezpieczniejszy sposób na przechowywanie funduszy.


STANDARDY DOTYCZĄCE BEZPIECZEŃSTWA DANYCH PERSONALNYCH

  • Twoje dane osobowe, takie jak numer Twojego dokumentu, a także data urodzenia, są przechowywane na oddzielnych serwerach. Oznacza to, że nasze serwery główne nie przechowują w ogóle tych danych. Jeśli są jakieś konkretne potrzeby użytkownika - i oczywiście użytkownik może pobierać tylko własne dane. Zatem w (czysto teoretycznym) przypadku naruszenia naszych serwerów widocznych na świecie, haker musiałby włamać się również do naszych wewnętrznych serwerów, co jest już znacznie bardziej skomplikowanym zadaniem.
  • Bardzo ograniczona liczba osób ma dostęp do tych danych. Po sprawdzeniu przez specjalistów, dane są ukryte i nie są już dostępne dla nikogo, chyba że zażądają tego władze (lub użytkownik).


STANDARDY BEZPIECZEŃSTWA DOTYCZĄCE PRYWATNYCH DOKUMENTÓW

  • Skany Twoich dokumentów tożsamości i Twoich zdjęć są przechowywane na zewnętrznych serwerach firmy (pod marką Jumio).
  • Dane te są przesyłane bezpośrednio do Jumio, nigdy nie docierając do naszych serwerów. Dzięki temu nie ma możliwości wycieku dokumentów.

Jumio jest znaną firmą, współpracującą z takimi gigantami jak Coinbase czy Airbnb.


SSL

Używamy SSL (https), więc Twoje dane są zawsze szyfrowane i nie można ich podsłuchać podczas wchodzenia na nasze strony. .


STANDARDY BEZPIECZEŃSTWA DOTYCZĄCE HASŁA

  • Twoje hasło jest mieszane za pomocą standardowych algorytmów, więc nigdy nie jest przechowywane w postaci zwykłego tekstu i nie jest znane nawet naszym administratorom. W ten sposób tak zwane rainbow tables nie mogą być używane do hakowania haseł.
  • Wymagamy haseł o wysokim poziomie skomplikowania, aby mieć pewność, że nie powiodą się próby ich złamania.
  • Używamy OTP (uwierzytelnianie jednorazowym hasłem / dwuetapowe uwierzytelnianie / uwierzytelnianie google).
  • Używamy uwierzytelniania poprzez sms

Dzięki naszym wysokim standardom bezpieczeństwa, nawet jeśli podasz hakerowi hasło do konta CoinDeal i Twoje prywatne hasło e-mail, nie będzie on mógł wypłacić żadnych środków z CoinDeal! Oczywiście, nigdy nie podawaj nikomu swoich haseł, ponieważ będziesz mógł zostać skrzywdzony na wiele sposobów. Jednak na pewno dobrze jest mieć pewność, że Twoje fundusze nie mogą zostać przeniesione bez kogoś, kto ma dostęp do twojego maila, haseł i telefonu w tym samym czasie. Nawet bez możliwości uzyskania dostępu do konta przez Ciebie, nie tylko twoje fundusze, ale także twoje prywatne dane są tutaj bezpieczne.

Istnieje wiele dodatkowych sposobów, dzięki którym CoinDeal zabezpiecza swoje fundusze i dane. Jesteśmy otwarci na dyskusję: jeśli masz jakieś obawy lub pomysły, prosimy o przesłanie nam wiadomości na stronie naszego supportu.