Dana Anda. Kunci Anda. Keunggulan eksekusi kami.
AlphaBot terhubung ke bursa melalui kunci API yang Anda berikan dan menempatkan pesanan atas nama Anda. Kami tidak pernah menyimpan, menahan, rehypotecate, atau mentransfer aset pengguna. Di bawah ini adalah apa yang kami lakukan — dan tidak lakukan — dengan kredensial yang Anda percayakan kepada kami.
1. Kami tidak pernah menyimpan dana Anda
- Kunci API yang Anda hubungkan memberikan izin baca dan perdagangan saja — tidak pernah penarikan.
- Izin penarikan ditolak dengan keras saat onboarding. Kami mendeteksinya pada panggilan terauthentikasi pertama dan menolak menerima kunci. Kunci tidak disimpan, tidak dicatat, tidak dicoba ulang.
- Jika bursa Anda mendukung daftar IP yang diizinkan pada kunci API, Anda dapat membatasi kunci Anda ke alamat keluar AlphaBot (terdaftar di dashboard).
2. Enkripsi: AWS KMS, amplop, per pengguna
- Rahasia API dienkripsi saat istirahat menggunakan AWS KMS dengan enkripsi amplop: kunci data unik per pengguna, dibungkus di bawah kunci master pelanggan KMS.
- Kebijakan KMS mengikat operasi dekripsi ke JWT sesi aktif Anda. Operator (kami) tidak dapat mendekripsi rahasia Anda di luar band.
- Rahasia yang didekripsi hanya ada di memori proses, hanya untuk durasi panggilan API, dan tidak pernah ditulis ke disk atau log.
3. Isolasi data per pengguna
Setiap catatan dalam datastore kami diindeks dan dipartisi oleh pengguna. Jalur akses memerlukan identitas yang terauthentikasi dari pemanggil agar sesuai dengan pemilik baris; akses lintas pengguna tidak mungkin menurut konstruksi, bukan konvensi.
Kami menjalankan fixture CI yang menyatakan "pengguna A tidak dapat membaca, memodifikasi, atau memicu efek samping apa pun pada data pengguna B" terhadap setiap penangan yang dilindungi. Tes gagal build pada regresi apa pun.
4. Log audit hanya-tambah
Setiap tindakan yang AlphaBot ambil terhadap akun Anda — pesanan ditempatkan, pesanan dibatalkan, kunci diputar, tombol mati dinyalakan, parameter diubah — dicatat dalam log rantai hash, hanya-tambah.
- Anda dapat mengekspor log lengkap sebagai CSV atau JSON dari dashboard kapan saja.
- Setiap entri mereferensikan hash entri sebelumnya, jadi pengubahan apa pun dapat dideteksi.
- Kepala rantai dipublikasikan, sehingga Anda dapat memverifikasi secara lokal bahwa tidak ada entri yang telah diubah atau dihapus.
- Tindakan operator (karyawan) pada infrastruktur dicatat secara terpisah dan tersedia atas permintaan ke tingkat Perusahaan.
5. Infrastruktur
AlphaBot berjalan di AWS di beberapa wilayah (us-east-1, us-west-2, ap-southeast-1) yang dipilih untuk kedekatan dengan mesin cocok bursa. Kami tidak berbagi database dengan pihak ketiga mana pun. Penyebaran produksi memerlukan autentikasi multifaktor, hanya kredensial berumur pendek, dan dicatat dalam log audit operator.
6. Pengungkapan kerentanan
Jika Anda percaya telah menemukan masalah keamanan, silakan kirim email ke security@alphabot.deeplogic.software. Kami bertujuan untuk mengakui dalam satu hari kerja dan menyediakan rencana remediasi dalam lima.
Kami sedang menyiapkan program bug-bounty formal dengan pembayaran yang diskalakan ke tingkat keparahan (rendah / sedang / tinggi / kritis). Sampai itu aktif, kami akan mengakui pengungkapan yang bertanggung jawab secara publik (dengan persetujuan pelapor) dan membayar bounty kebijaksanaan untuk laporan yang valid dan dalam lingkup. Luar lingkup: apa pun yang memerlukan kompromi kredensial bursa pengguna akhir, temuan yang tidak berdampak produk, penolakan layanan terhadap infrastruktur bersama, rekayasa sosial staf.
Apa yang kami tidak (belum) klaim
Kami tidak mengklaim sertifikasi SOC 2 atau ISO 27001. Keduanya ada di roadmap kami dan kami akan menerbitkan auditor dan laporan ketika masing-masing selesai. Sampai saat itu, kontrol yang dijelaskan di atas adalah apa yang dapat kami pertahankan hari ini.