あなたの資金。あなたの鍵。私たちの実行エッジ。
AlphaBotはあなたが提供するAPIキー経由で取引所に接続し、あなたの代わりに注文を発注します。ユーザー資産をカストディ、保有、再担保化、または移転することはありません。以下は、あなたが信頼してくれた認証情報に対して、私たちが正確に何をするのか、そして何をしないのかです。
1. 私たちはあなたの資金をカストディしません
- 接続するAPIキーが付与するのは 読み取り および トレード 権限のみで、決して出金ではありません。
- 出金権限はオンボーディング時に厳しく拒否されます。最初の認証済みコール時に検出され、キーの受け入れを拒否します。キーは保存されず、ログに記録されず、再試行されません。
- 取引所がAPIキーのIPアロー・リストをサポートしている場合、キーをAlphaBotのアウトバウンドアドレス(ダッシュボードに表示)に制限できます。
2. 暗号化:AWS KMS、エンベロープ、ユーザー単位
- API秘密は、エンベロープ暗号化を使用したAWS KMSで保存時に暗号化されます。ユーザーごとに一意のデータキーがあり、KMSカスタマーマスターキーの下でラップされます。
- KMSポリシーは復号化操作をアクティブなセッションJWTにバインドします。オペレータ(私たち)は帯域外であなたの秘密を復号化することはできません。
- 復号化秘密はプロセスメモリにのみ存在し、APIコールの期間中のみであり、ディスクまたはログに書き込まれることはありません。
3. ユーザー単位のデータ分離
データストア内のすべてのレコードはユーザーでキー化およびパーティション化されます。アクセスパスは呼び出し元の認証済みアイデンティティがロー所有者と一致する必要があり、クロスユーザーアクセスは構造上不可能で、慣例ではありません。
「ユーザーAがユーザーBのデータを読み取り、変更、またはトリガーすることはできない」をすべての保護されたハンドラに対して主張するCI フィクスチャを実行します。テストは回帰時にビルドを失敗させます。
4. アペンドのみ監査ログ
AlphaBotがあなたのアカウントに対して実行するすべてのアクション(注文発注、注文キャンセル、キーローテーション、キルスイッチ発動、パラメータ変更)は、ハッシュチェーン、アペンドのみログに記録されます。
- ダッシュボードからCSVまたはJSON形式で完全なログをいつでもエクスポートできます。
- 各エントリは前のエントリのハッシュを参照するため、改ざんは検出可能です。
- チェーンヘッドが公開されているため、ローカルでエントリが変更または削除されていないことを検証できます。
- オペレータ(従業員)のインフラストラクチャアクションは個別にログに記録され、Enterpriseティアへのリクエスト時に利用可能になります。
5. インフラストラクチャ
AlphaBotはAWSで複数のリージョン(us-east-1、us-west-2、ap-southeast-1)で実行され、取引所マッチエンジンへの近接性のために選択されています。私たちはサードパーティとデータベースを共有しません。本番環境デプロイメントは多要素認証が必要で、短期有効認証情報のみであり、オペレータ監査ログに記録されます。
6. 脆弱性開示
セキュリティ問題が見つかったと思われる場合は、次のアドレスにメールしてください security@alphabot.deeplogic.software。1営業日以内に確認し、5日以内に改善計画を提供することを目指しています。
重大度別(低/中/高/致命的)にペイアウトがスケーリングされた正式なバグバウンティプログラムを準備しています。ライブになるまで、責任ある開示を公開で認識し(記者の同意を得て)、有効でスコープ内のレポートに対して裁量的なバウンティを支払います。スコープ外:エンドユーザーの取引所認証情報の侵害を必要とするもの、製品に影響しない調査結果、共有インフラストラクチャに対するサービス拒否、スタッフへのソーシャルエンジニアリング。
私たちがまだ主張しないこと
SOC 2またはISO 27001認定を主張しません。どちらもロードマップ上にあり、各々が完了したときに監査人とレポートを公開します。それまで、上記で説明されたコントロールが、私たちが今日支持できるものです。