Senin fonlarınız. Sizin key'leriniz. Bizim execution kenarımız.
AlphaBot sizin sağladığınız API key'ler aracılığıyla exchange'lere bağlanır ve adınıza siparişler verir. Hiçbir zaman user asset'lerini custody, tutma, rehypothecate veya transfer etmiyoruz. Aşağıda güvendiğiniz credential'larla tam olarak neyimiz yapıyor — ve yapmıyoruz — açıklanır.
1. Fonlarınızı asla custody etmiyoruz
- Bağladığınız API key'ler oku ve ticaret izni verir — asla withdraw etmez.
- Withdraw izni onboarding'de hard-reject edilir. İlk authenticated call'da algılarız ve key'i kabul etmesiz. Key depolanmaz, logged olmaz, retry edilmez.
- Exchange API key'leriniz üzerinde IP allow-list'lerini desteklerse, key'inizi AlphaBot'un outbound address'lerine restrict edebilirsiniz (dashboard'ta listelenir).
2. Encryption: AWS KMS, envelope, per-user
- API secret'lar rest'te AWS KMS ile encrypted: unique data key per user, KMS customer master key altında wrapped.
- KMS policy decrypt operasyonlarını active session JWT'nize binds. Operatörler (biz) secret'larınızı out-of-band decrypt edemez.
- Decrypted secret'lar sadece process memory'de, sadece API call'ı süresince yaşar ve asla disk'e veya log'lara yazılmaz.
3. Per-user data izolasyonu
Datastore'daki her record user tarafından key'lenmiş ve partitioned. Access path'ler authenticated identity'nin row owner'ı match'lemesini gerektirir; cross-user access konstruksiyonla imkansız, konvansiyonla değil.
"user A user B'nin herhangi bir data'sını okuyamaz, modifiye edemez veya tetikleyemez" hersanırım protected handler'a karşı CI fixture çalıştırırız. Test herhangi bir regression'da build'i başarısız kılar.
4. Append-only audit log
AlphaBot'un hesabınıza karşı aldığı her action — order placed, order canceled, key rotated, kill switch fired, parameter changed — hash-chained, append-only log'da kaydedilir.
- Dashboard'tan istediğiniz zaman tam log'u CSV veya JSON olarak export edebilirsiniz.
- Her entry önceki entry'nin hash'ını reference verir, bu yüzden herhangi bir tampering detectable'dir.
- Chain head published'dır, bu yüzden hiçbir entry'nin altered veya removed olmadığını locally verify edebilirsiniz.
- Operatör (çalışan) infrastructure'daki action'lar ayrı logged ve Enterprise tier'da request üzerine available.
5. Infrastructure
AlphaBot birçok region'da (us-east-1, us-west-2, ap-southeast-1) exchange match engine'lerine yakınlık için seçilen AWS üzerinde çalışır. Hiçbir third party ile database'i share etmiyoruz. Production deployment'lar multi-factor authentication isteder, short-lived-credential only'dir ve operator audit log'da recorded.
6. Vulnerability açıklaması
Security issue bulduğunuzu düşünüyorsanız, lütfen email'i gönderin security@alphabot.deeplogic.software. Bir business day'inde acknowledge etmeyi ve beş gün içinde remediation planı provide etmeyi target ediyoruz.
Severity'ye (low / medium / high / critical) ölçeklenmiş payout'lar ile formal bug-bounty program'ı hazırlıyoruz. Canlı oluncaya kadar, responsible disclosure'ı (reporter'ın consent'i ile) public olarak acknowledge edecek ve valid, in-scope raporlar için discretionary bounty'ler ödeyecektik. Out-of-scope: end user'ın exchange credential'larının compromise'ını gerektiren herşey, non-product-impacting findings, shared infrastructure'a karşı denial-of-service, staff'ın social engineeringing.
Hâlihazırda claim etmediğimiz şeyler
SOC 2 veya ISO 27001 sertifikasyonunu claim etmiyoruz. Her ikisi de roadmap'da ve auditor'u ve report'u yayınlayacağız her complete olduğunda. Adına kadar, yukarıda açıklanan kontrol'ler bugün arkamızı koyabileceğimiz şeylerdir.