Ваши средства. Ваши ключи. Наше преимущество исполнения.
AlphaBot подключается к биржам через API ключи, которые вы предоставляете, и размещает ордера от вашего имени. Мы никогда не храним, не владеем, не rehypothecate и не переводим пользовательские активы. Ниже точно то, что мы делаем — и не делаем — с учётными данными, которым вы доверяете.
1. Мы никогда не храним ваши средства
- API ключи, которые вы подключаете, предоставляют разрешения чтение и торговля только — никогда вывод.
- Разрешение на вывод жёстко отклоняется при onboarding. Мы обнаруживаем его на первом аутентифицированном вызове и отказываем принять ключ. Ключ не сохраняется, не логируется, не переполняется.
- Если ваша биржа поддерживает IP allow-lists на API ключах, вы можете ограничить ваш ключ адресами исходящего трафика AlphaBot (перечислены в дашборде).
2. Encryption: AWS KMS, envelope, per-user
- API секреты зашифрованы в покое с использованием AWS KMS с envelope encryption: уникальный data key per user, завёрнутый под KMS customer master key.
- KMS политика связывает decrypt операции с вашим активным session JWT. Операторы (мы) не можем расшифровать ваши секреты out-of-band.
- Расшифрованные секреты живут только в process memory, только на время API вызова, и никогда не пишутся на диск или в логи.
3. Per-user изоляция данных
Каждая запись в нашем datastore ключирована и разделена по пользователю. Пути доступа требуют authenticated identity вызывающего для соответствия владельцу строки; кросс-пользовательский доступ невозможен по конструкции, не по соглашению.
Мы запускаем CI fixture, которая утверждает "пользователь A не может читать, изменять или запускать любой side-effect на данных пользователя B" против каждого защищённого handler. Тест падает на любой регрессии.
4. Append-only audit log
Каждое действие, которое AlphaBot принимает против вашего аккаунта — ордер размещён, ордер отменён, ключ ротирован, kill switch сработал, параметр изменился — записывается в hash-chained, append-only лог.
- Вы можете экспортировать полный лог как CSV или JSON из дашборда в любое время.
- Каждая запись ссылается на hash предыдущей записи, поэтому любое изменение обнаруживаемо.
- Голова цепи публикуется, поэтому вы можете локально верифицировать, что ни одна запись не была изменена или удалена.
- Действия operator (сотрудника) на инфраструктуре логируются отдельно и доступны по запросу для Enterprise тира.
5. Инфраструктура
AlphaBot работает на AWS в нескольких регионах (us-east-1, us-west-2, ap-southeast-1) выбранных для близости к exchange match engines. Мы не делим базы данных с третьей стороной. Production развёртывания требуют multi-factor authentication, используют только short-lived-credential, и записываются в operator audit лог.
6. Vulnerability disclosure
Если вы считаете, что обнаружили security issue, пожалуйста, напишите на security@alphabot.deeplogic.software. Мы стремимся к acknowledgement в течение одного рабочего дня и к плану ремедиации в течение пяти дней.
Мы готовим формальную bug-bounty программу с выплатами, масштабируемыми по severity (low / medium / high / critical). До её запуска мы будем признавать responsible disclosure публично (с согласия репортера) и платить дискреционные bounties для валидных in-scope отчётов. Out-of-scope: всё, требующее компрометации exchange учётных данных конечного пользователя, non-product-impacting находки, denial-of-service против shared инфраструктуры, социальная инженерия сотрудников.
Что мы (пока) не утверждаем
Мы не утверждаем SOC 2 или ISO 27001 сертификацию. Обе находятся в нашем roadmap и мы опубликуем auditor и отчёт когда каждый завершён. До тех пор, контроли описанные выше — это то, на что мы можем указать сегодня.