AAlphaBot
HI
लॉगिन करेंसाइन अप करें
सुरक्षा मॉडल

आपके फंड। आपकी कुंजियाँ। हमारी निष्पादन क्षमता।

AlphaBot आप द्वारा प्रदान की गई API कुंजियों के माध्यम से एक्सचेंज से जुड़ता है और आपकी ओर से ऑर्डर प्लेस करता है। हम कभी उपयोगकर्ता संपत्ति की कस्टडी, होल्ड, पुनः-गिरवी, या स्थानांतरण नहीं करते। नीचे बिल्कुल वह है जो हम करते हैं — और आप जिन क्रेडेंशियल पर विश्वास करते हैं उनके साथ नहीं करते।

KMS-एन्क्रिप्टेड रहस्यवापसी अनुमति दृढ़ता से अस्वीकृतकिसी भी समय रद्द करें

1. हम कभी आपके फंड की कस्टडी नहीं लेते

  • आप जो API कुंजियाँ जोड़ते हैं वह मंजूरी देती हैं पढ़ने और व्यापार अनुमति — कभी वापसी नहीं।
  • वापसी की अनुमति ऑनबोर्डिंग में दृढ़ता से अस्वीकार की जाती है। हम इसे पहली प्रमाणित कॉल पर पहचानते हैं और कुंजी को स्वीकार करने से इनकार करते हैं। कुंजी को संग्रहीत नहीं किया जाता, लॉग नहीं किया जाता, पुनः प्रयास नहीं किया जाता।
  • यदि आपका एक्सचेंज API कुंजियों पर IP अनुमति-सूचियों का समर्थन करता है, तो आप अपनी कुंजी को AlphaBot के आउटबाउंड पते तक सीमित कर सकते हैं (डैशबोर्ड में सूचीबद्ध)।

2. एन्क्रिप्शन: AWS KMS, एनवेलप, प्रति-उपयोगकर्ता

  • API रहस्यों को AWS KMS के साथ एनवेलप एन्क्रिप्शन का उपयोग करके विश्राम में एन्क्रिप्ट किया जाता है: प्रति उपयोगकर्ता एक अद्वितीय डेटा कुंजी, KMS ग्राहक मास्टर कुंजी के तहत लपेटी गई।
  • KMS नीति डिक्रिप्ट संचालन को आपके सक्रिय सत्र JWT से बांधती है। ऑपरेटर (हम) आपके रहस्यों को बैंड के बाहर डिक्रिप्ट नहीं कर सकते।
  • डिक्रिप्ट किए गए रहस्य केवल प्रक्रिया मेमोरी में, केवल एक API कॉल की अवधि के लिए रहते हैं, और कभी भी डिस्क या लॉग में नहीं लिखे जाते।

3. प्रति-उपयोगकर्ता डेटा अलगाव

हमारे डेटास्टोर में प्रत्येक रिकॉर्ड उपयोगकर्ता द्वारा कुंजीबद्ध और विभाजित है। एक्सेस पाथ के लिए कॉलर की प्रमाणित पहचान पंक्ति मालिक से मेल खानी चाहिए; क्रॉस-यूजर एक्सेस निर्माण द्वारा असंभव है, परंपरा द्वारा नहीं।

हम एक CI फिक्सचर चलाते हैं जो हर सुरक्षित हैंडलर के विरुद्ध "उपयोगकर्ता A उपयोगकर्ता B के डेटा को पढ़, संशोधित, या किसी भी साइड-इफेक्ट को ट्रिगर नहीं कर सकता" की पुष्टि करता है। टेस्ट किसी भी रिग्रेशन पर बिल्ड को विफल करता है।

4. केवल-परिशिष्ट ऑडिट लॉग

AlphaBot आपके खाते के खिलाफ हर कार्रवाई — ऑर्डर रखा गया, ऑर्डर रद्द किया गया, कुंजी घुमाई गई, किल स्विच निकाल दिया गया, पैरामीटर बदला गया — एक हैश-चेन, केवल-परिशिष्ट लॉग में दर्ज की जाती है।

  • आप डैशबोर्ड से किसी भी समय पूर्ण लॉग को CSV या JSON के रूप में निर्यात कर सकते हैं।
  • प्रत्येक प्रविष्टि पिछली प्रविष्टि के हैश को संदर्भित करती है, इसलिए कोई भी छेड़छाड़ पहचानने योग्य है।
  • चेन हेड प्रकाशित है, इसलिए आप स्थानीय रूप से सत्यापित कर सकते हैं कि कोई भी प्रविष्टि परिवर्तित या हटाई नहीं गई है।
  • ऑपरेटर (कर्मचारी) बुनियादी ढांचे पर कार्रवाई अलग से लॉग की जाती हैं और Enterprise टियर के अनुरोध पर उपलब्ध कराई जाती हैं।

5. बुनियादी ढांचा

AlphaBot कई क्षेत्रों (us-east-1, us-west-2, ap-southeast-1) में AWS पर चलता है जो एक्सचेंज मैच इंजन के निकटता के लिए चुने गए हैं। हम किसी तीसरे पक्ष के साथ डेटाबेस साझा नहीं करते। उत्पादन तैनाती के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है, केवल अल्पकालिक-क्रेडेंशियल हैं, और ऑपरेटर ऑडिट लॉग में दर्ज किए जाते हैं।

6. कमजोरी प्रकटीकरण

यदि आप मानते हैं कि आपको कोई सुरक्षा समस्या मिली है, तो कृपया ईमेल करें security@alphabot.deeplogic.software। हम एक कार्यदिवस के भीतर स्वीकार करने और पाँच के भीतर एक उपचार योजना प्रदान करने का लक्ष्य रखते हैं।

हम गंभीरता (कम / मध्यम / उच्च / गंभीर) के लिए स्केल किए गए पेआउट के साथ एक औपचारिक बग-बाउंटी प्रोग्राम तैयार कर रहे हैं। जब तक यह लाइव नहीं है, हम जिम्मेदार प्रकटीकरण को सार्वजनिक रूप से (रिपोर्टर की सहमति के साथ) स्वीकार करेंगे और वैध, स्कोप में रिपोर्ट के लिए विवेकाधीन बाउंटी का भुगतान करेंगे। स्कोप से बाहर: कुछ भी जिसमें अंतिम उपयोगकर्ता के एक्सचेंज क्रेडेंशियल के समझौते की आवश्यकता हो, गैर-उत्पाद-प्रभावशाली निष्कर्ष, साझा बुनियादी ढांचे के खिलाफ डिनायल-ऑफ-सर्विस, कर्मचारियों की सामाजिक इंजीनियरिंग।

हम क्या अभी तक दावा नहीं करते

हम SOC 2 या ISO 27001 प्रमाणन का दावा नहीं करते। दोनों हमारे रोडमैप पर हैं और हम प्रत्येक के पूर्ण होने पर ऑडिटर और रिपोर्ट प्रकाशित करेंगे। तब तक, ऊपर वर्णित नियंत्रण वह हैं जिनके आगे हम आज खड़े हो सकते हैं।

समान नियंत्रण को कार्रवाई में देखें।

लाइव प्रमाण डैशबोर्डजोखिम प्रकटीकरणगोपनीयता नीति