Ваші кошти. Ваші ключі. Наша перевага в исполнении.
AlphaBot підключається до бірж через API-ключі, які ви надаєте, і розміщує ордери від вашого імені. Ми ніколи не зберігаємо, не утримуємо, не повторно не закладаємо та не передаємо активи користувачів. Нижче наведено точно те, що ми робимо — і не робимо — з обліковими даними, яким ви нас довіряєте.
1. Ми ніколи не зберігаємо ваші кошти
- API-ключі, які ви підключаєте, надають читання та торгівлю — ніколи виведення.
- Право на виведення жорстко відхиляється під час реєстрації. Ми виявляємо його під час першого автентифікованого виклику та відмовляємось приймати ключ. Ключ не зберігається, не реєструється, не повторяється.
- Якщо ваша біржа підтримує IP-дозволи на API-ключах, ви можете обмежити свій ключ адресами вихідних даних AlphaBot (зазначені на панелі керування).
2. Шифрування: AWS KMS, конверт, для кожного користувача
- API-секрети шифруються в стані спокою за допомогою AWS KMS з шифруванням конверта: унікальний ключ даних для кожного користувача, обгорнутий під головним ключом KMS.
- Політика KMS пов'язує операції розшифрування з вашим активним JWT сеансу. Оператори (ми) не можемо розшифрувати ваші секрети поза смугою.
- Розшифровані секрети існують лише в пам'яті процесу, лише під час API-виклику та ніколи не записуються на диск або в журнали.
3. Ізоляція даних для кожного користувача
Кожен запис у нашому сховищі даних розділяється та розділяється за користувачем. Шляхи доступу вимагають, щоб автентична ідентичність абонента відповідала власнику рядка; кросс-користувацький доступ неможливий за конструкцією, а не за конвенцією.
Ми запускаємо тестовий пристрій CI, який підтверджує «користувач A не може читати, змінювати або спричиняти будь-які побічні ефекти на дані користувача B» для кожного захищеного обробника. Тест зупиняє збірку при будь-якій регресії.
4. Журнал аудиту лише для додавання
Кожна дія, яку AlphaBot виконує на вашому рахунку — розміщення ордера, скасування ордера, ротація ключа, спрацювання kill-switch, зміна параметра — записується в хеш-ланцюжку, журналі лише для додавання.
- Ви можете експортувати повний журнал як CSV або JSON з панелі керування в будь-який час.
- Кожен запис посилається на хеш попереднього запису, тому будь-яке втручання можна виявити.
- Голова ланцюга публікується, тому ви можете локально переконатися, що жоден запис не був змінений або видалений.
- Дії оператора (працівника) на інфраструктурі реєструються окремо і доступні за запитом для рівня Enterprise.
5. Інфраструктура
AlphaBot працює на AWS у кількох регіонах (us-east-1, us-west-2, ap-southeast-1), вибраних для близькості до механізмів узгодження бірж. Ми не ділимся базами даних з жодною третьою стороною. Виробничі розгортання потребують багатофакторної автентифікації, містять лише короткотривалі облікові дані та записуються в журнал аудиту оператора.
6. Розкриття уразливостей
Якщо ви вважаєте, що знайшли проблему безпеки, напишіть security@alphabot.deeplogic.software. Ми намагаємось відповісти протягом одного робочого дня та надати план усунення протягом п'яти.
Ми готуємо офіційну програму пошуку помилок з виплатами, масштабованими за серйозністю (низька / середня / висока / критична). Поки вона не запущена, ми будемо визнавати відповідальне розкриття публічно (з дозволу звіту) та платити дискреційні винагороди за дійсні звіти в межах сфери. Виключено: все, що вимагає компрометації облікових даних біржі користувача, висновки, які не впливають на продукт, відмова в обслуговуванні спільної інфраструктури, соціальна інженерія персоналу.
Що ми (ще) не претендуємо
Ми не претендуємо на сертифікацію SOC 2 або ISO 27001. Обидва знаходяться в нашій дорожній карті, і ми опублікуємо аудитора та звіт, коли кожен буде завершений. До того часу контролі, описані вище, — це те, на що ми можемо покластися сьогодні.