Ihre Gelder. Ihre Keys. Unser Execution-Vorteil.
AlphaBot verbindet sich über API-Keys, die Sie bereitstellen, mit Börsen und platziert Orders in Ihrem Namen. Wir verwahren, halten, rehypothecate oder transferieren niemals Benutzer-Assets. Nachfolgend ist genau aufgeführt, was wir mit den Credentials tun – und nicht tun – denen Sie uns vertrauen.
1. Wir verwahren Ihre Gelder niemals
- API-Keys, die Sie verbinden, gewähren Lese- und Handels- berechtigung – niemals Auszahlung.
- Die Auszahlungsberechtigung wird beim Onboarding hart abgelehnt. Wir erkennen sie beim ersten authentifizierten Aufruf und lehnen den Key ab. Der Key wird nicht gespeichert, nicht protokolliert, nicht erneut versucht.
- Falls Ihre Börse IP-Allowlists für API-Keys unterstützt, können Sie Ihren Key auf Alphabots ausgehende Adressen beschränken (aufgelistet im Dashboard).
2. Verschlüsselung: AWS KMS, Envelope, pro Benutzer
- API-Secrets werden in Ruhe mit AWS KMS verschlüsselt, mit Envelope-Verschlüsselung: ein eindeutiger Datenschlüssel pro Benutzer, umhüllt von einem KMS Customer Master Key.
- Die KMS-Policy bindet Entschlüsselungsoperationen an Ihr aktives Session-JWT. Operatoren (wir) können Ihre Secrets nicht außerband entschlüsseln.
- Entschlüsselte Secrets existieren nur im Prozessspeicher, nur für die Dauer eines API-Aufrufs, und werden niemals auf Festplatte oder in Logs geschrieben.
3. Per-Benutzer-Datenisolation
Jeder Datensatz in unserem Datastore wird nach Benutzer verschlüsselt und partitioniert. Zugriffspfade erfordern, dass die Identität des Aufrufers dem Zeilenbesitzer entspricht; Zugriff über Benutzer ist konstruktionsbedingt unmöglich, nicht konventionsbedingt.
Wir führen eine CI-Fixture durch, die gegen jeden geschützten Handler bestätigt: «Benutzer A kann keine Daten, Änderungen oder Nebenwirkungen auf Benutzer Bs Daten lesen, ändern oder auslösen». Der Test bricht den Build bei jeder Regression ab.
4. Append-only Audit-Log
Jede Aktion, die AlphaBot gegen Ihr Konto durchführt – Order platziert, Order storniert, Key rotiert, Kill-Switch ausgelöst, Parameter geändert – wird in einem Hash-verketteten, Append-only-Log aufgezeichnet.
- Sie können das vollständige Log jederzeit als CSV oder JSON aus dem Dashboard exportieren.
- Jeder Eintrag verweist auf den Hash des vorherigen Eintrags, so dass jede Manipulation erkannt werden kann.
- Der Chain Head wird veröffentlicht, sodass Sie lokal überprüfen können, dass kein Eintrag geändert oder entfernt wurde.
- Operatoren- (Mitarbeiter-)Aktionen auf der Infrastruktur werden separat protokolliert und auf Anfrage für Enterprise-Tier bereitgestellt.
5. Infrastruktur
AlphaBot läuft auf AWS in mehreren Regionen (us-east-1, us-west-2, ap-southeast-1), die für die Nähe zu Exchange-Match-Engines gewählt wurden. Wir teilen keine Datenbanken mit Dritten. Produktionsbereitstellungen erfordern Multi-Faktor-Authentifizierung, sind nur mit kurzlebigen Credentials und werden im Operatoren-Audit-Log aufgezeichnet.
6. Vulnerability Disclosure
Falls Sie glauben, ein Sicherheitsproblem gefunden zu haben, schreiben Sie bitte an security@alphabot.deeplogic.software. Wir stellen uns zum Ziel, innerhalb eines Geschäftstages zu bestätigen und einen Abhilfenplan innerhalb von fünf Tagen bereitzustellen.
Wir bereiten ein formales Bug-Bounty-Programm mit Auszahlungen nach Schweregrad (niedrig / mittel / hoch / kritisch) vor. Bis es live geht, werden wir verantwortungsvolle Offenlegung öffentlich anerkennen (mit Zustimmung des Reporters) und diskretionäre Bounties für gültige, im Umfang liegende Reports zahlen. Außerhalb des Umfangs: alles, das die Kompromittierung von Exchange-Credentials eines Endbenutzers erfordert, Befunde ohne Auswirkung auf das Produkt, Denial-of-Service gegen gemeinsam genutzte Infrastruktur, Social Engineering von Personal.
Was wir (noch) nicht beanspruchen
Wir beanspruchen keine SOC-2- oder ISO-27001-Zertifizierung. Beide befinden sich auf unserer Roadmap und wir werden den Auditor und Report veröffentlichen, wenn jeweils fertig. Bis dahin sind die oben beschriebenen Controls das, wofür wir heute einstehen können.