Защита счёта
Безопасность
Обязательный MFA, TLS 1.3 и иммутабельный журнал аудита — базовый уровень защиты для каждого счёта. Не опционально, не по подписке.
Многофакторная аутентификация
MFA обязателен при входе и при каждой операции вывода средств. Поддерживаются TOTP-приложения (Google Authenticator, Яндекс.Ключ, Aegis). Нет возможности отключить MFA при наличии активного баланса.
Шифрование трафика и данных
Все соединения защищены TLS 1.3 с HSTS. Персональные данные и документы KYC зашифрованы at-rest на уровне СУБД. Ключи ротируются ежеквартально.
Append-only журнал аудита
Каждое действие — вход, поручение, вывод, изменение настроек — записывается в иммутабельный журнал с криптографической цепочкой хешей (WORM). Журнал нельзя изменить задним числом ни оператором, ни администратором.
Разграничение прав (RBAC)
Операторы бэк-офиса получают только те роли, которые необходимы для их функции. Все административные действия фиксируются в отдельном журнале аудита и доступны на странице аудита в личном кабинете.
Защита от мошенничества
Подозрительные операции эскалируются комплаенс-офицеру автоматически. При признаках компрометации аккаунта все активные сессии завершаются принудительно. Вывод средств заморажинается на 24 часа после смены пароля.
Сегрегация средств клиентов
Денежные средства хранятся на сегрегированных счетах брокера-партнёра, отделённых от собственных средств оператора. Цифровые активы хранятся у лицензированного кастоди-провайдера с раздельными горячим и холодным хранилищами.
Практики безопасности
- Регулярное независимое пентестирование
- Ответственное раскрытие уязвимостей (bug bounty)
- Политика реагирования на инциденты с уведомлением в течение 72 часов
- Резервное копирование данных с RPO ≤ 1 час
- SLA доступности платформы — 99,9% в месяц
Полное описание технических мер — в Политике обработки персональных данных.