귀하의 자산. 귀하의 키. 저희의 실행 우위.
AlphaBot은 귀하가 제공한 API 키를 통해 거래소에 연결하고 귀하를 대신하여 주문을 체결합니다. 저희는 사용자 자산을 보관, 보유, 재담보화하거나 이전하지 않습니다. 아래는 귀하가 저희에게 위임한 자격증명으로 저희가 정확히 수행하는 것과 수행하지 않는 것입니다.
1. 저희는 귀하의 자산을 보관하지 않습니다
- 귀하가 연결한 API 키는 읽기 및 거래 권한만 부여합니다 — 절대 출금은 아닙니다.
- 출금 권한은 온보딩 시 강력하게 거부됩니다. 저희는 첫 번째 인증된 호출에서 이를 감지하고 키 수용을 거부합니다. 키는 저장되지 않고, 로그되지 않으며, 재시도되지 않습니다.
- 거래소에서 API 키에 IP 허용 목록을 지원하는 경우, 키를 AlphaBot의 아웃바운드 주소(대시보드에 나열)로 제한할 수 있습니다.
2. 암호화: AWS KMS, 봉투 암호화, 사용자별
- API 보안 정보는 AWS KMS를 사용하여 암호화되며, 봉투 암호화를 적용합니다: 사용자당 고유한 데이터 키로, KMS 고객 마스터 키 하위에 래핑됩니다.
- KMS 정책은 복호화 작업을 귀하의 활성 세션 JWT에 결합합니다. 운영자(저희)는 업무 외에 귀하의 보안 정보를 복호화할 수 없습니다.
- 복호화된 보안 정보는 프로세스 메모리에만, API 호출 기간 동안만 존재하며, 디스크나 로그에 절대 기록되지 않습니다.
3. 사용자별 데이터 격리
데이터저장소의 모든 레코드는 사용자별로 키 지정되고 분할됩니다. 접근 경로에는 호출자의 인증 신원이 행 소유자와 일치해야 하며, 교차 사용자 접근은 구조상 불가능합니다.
저희는 모든 보호된 핸들러에 대해 "사용자 A는 사용자 B의 데이터를 읽고, 수정하거나, 부작용을 트리거할 수 없습니다"를 단정하는 CI 픽스처를 실행합니다. 테스트는 회귀 시 빌드를 실패합니다.
4. 추가 전용 감사 로그
AlphaBot이 귀하의 계정에 대해 수행하는 모든 조치(주문 체결, 주문 취소, 키 로테이션, 킬 스위치 작동, 매개변수 변경)는 해시 체인, 추가 전용 로그에 기록됩니다.
- 대시보드에서 언제든 전체 로그를 CSV 또는 JSON으로 내보낼 수 있습니다.
- 각 항목은 이전 항목의 해시를 참조하므로, 모든 변조는 감지 가능합니다.
- 체인 헤드는 공개되므로, 항목이 변경되거나 제거되지 않았음을 로컬에서 확인할 수 있습니다.
- 운영자(직원)의 인프라에 대한 조치는 별도로 기록되며, Enterprise 계층에 요청 시 제공됩니다.
5. 인프라
AlphaBot은 AWS에서 여러 리전(us-east-1, us-west-2, ap-southeast-1)에서 실행되며, 거래소 매칭 엔진에 대한 근접성을 위해 선택되었습니다. 저희는 제3자와 데이터베이스를 공유하지 않습니다. 프로덕션 배포는 다중 인증을 요구하고, 단기 수명 자격증명만 사용하며, 운영자 감사 로그에 기록됩니다.
6. 취약점 공개
보안 문제를 발견했다고 생각하시면 security@alphabot.deeplogic.software로 이메일 보내주십시오. 저희는 1 업무일 내에 확인하고 5일 내에 해결 계획을 제공하는 것을 목표로 합니다.
저희는 심각도(낮음 / 중간 / 높음 / 치명적)에 따라 금액이 조정되는 형식적인 버그 보상 프로그램을 준비 중입니다. 출시 전까지는, 책임감 있는 공개를 공개적으로(보고자의 동의하에) 인정하고 유효한 범위 내 보고에 대해 자유량 보상을 지급합니다. 범위 외: 최종 사용자의 거래소 자격증명 손상을 요구하는 것, 제품 영향이 없는 발견, 공유 인프라에 대한 서비스 거부, 직원에 대한 소셜 엔지니어링.
저희가 (아직) 주장하지 않는 것
저희는 SOC 2 또는 ISO 27001 인증을 주장하지 않습니다. 둘 다 저희의 로드맵에 있으며, 각각이 완료되면 감사자와 보고서를 발표합니다. 그때까지는, 위에 설명된 제어가 저희가 오늘 입장을 선 수 있는 것입니다.