Quỹ của quý khách. Khoá của quý khách. Lợi thế thực hiện của chúng tôi.
AlphaBot kết nối với các sàn giao dịch thông qua khoá API quý khách cung cấp và đặt lệnh thay mặt quý khách. Chúng tôi không bao giờ lưu ký, giữ, định giá lại hoặc chuyển tài sản của người dùng. Dưới đây là chính xác những gì chúng tôi làm — và không làm — với thông tin xác thực quý khách tin tưởng chúng tôi.
1. Chúng tôi không bao giờ lưu ký quỹ tài sản của quý khách
- Khoá API quý khách kết nối cấp đọc và giao dịch quyền chỉ — không bao giờ rút tiền.
- Quyền rút tiền được khó khăn từ chối khi hướng dẫn. Chúng tôi phát hiện nó trên cuộc gọi được xác thực đầu tiên và từ chối chấp nhận khoá. Khoá không được lưu trữ, không được ghi nhật ký, không được thử lại.
- Nếu sàn giao dịch của quý khách hỗ trợ các danh sách cho phép IP trên khoá API, quý khách có thể hạn chế khoá của mình đối với các địa chỉ gửi đi của AlphaBot (được liệt kê trong bảng điều khiển).
2. Mã hóa: AWS KMS, phong bì, trên mỗi người dùng
- Các bí mật API được mã hóa khi ở trạng thái đang chờ bằng AWS KMS với mã hóa phong bì: một khoá dữ liệu duy nhất cho mỗi người dùng, được bọc dưới một khóa chính khách hàng KMS.
- Chính sách KMS liên kết các hoạt động giải mã với JWT phiên hoạt động của quý khách. Các nhà khai thác (chúng tôi) không thể giải mã bí mật của quý khách ngoài dây.
- Các bí mật được giải mã sống chỉ trong bộ nhớ quá trình, chỉ trong khoảng thời gian của cuộc gọi API, và không bao giờ được viết vào đĩa hoặc nhật ký.
3. Cách ly dữ liệu trên mỗi người dùng
Mỗi bản ghi trong kho dữ liệu của chúng tôi được khóa và phân chia theo người dùng. Các đường dẫn truy cập yêu cầu danh tính được xác thực của người gọi để phù hợp với chủ sở hữu hàng; truy cập chéo người dùng là không thể bằng cách xây dựng, không phải bằng quy ước.
Chúng tôi chạy một thiết bị CI khẳng định "người dùng A không thể đọc, sửa đổi hoặc kích hoạt bất kỳ tác dụng phụ nào trên dữ liệu của người dùng B" chống lại mọi trình xử lý được bảo vệ. Bài kiểm tra không thành công được xây dựng trên bất kỳ hồi quy nào.
4. Nhật ký kiểm toán chỉ nối
Mỗi hành động AlphaBot thực hiện chống lại tài khoản của quý khách — đặt hàng, hủy lệnh, xoay khóa, kích hoạt công tắc dừng, tham số thay đổi — được ghi lại trong nhật ký được nối vào băm, chỉ nối.
- Quý khách có thể xuất toàn bộ nhật ký dưới dạng CSV hoặc JSON từ bảng điều khiển bất cứ lúc nào.
- Mỗi mục tham chiếu hàm băm mục nhập trước đó, vì vậy bất kỳ giả mạo nào đều có thể phát hiện được.
- Người đứng đầu chuỗi được công bố, vì vậy quý khách có thể xác minh cục bộ rằng không có mục nào đã được thay đổi hoặc loại bỏ.
- Các hành động của nhà khai thác (nhân viên) trên cơ sở hạ tầng được ghi nhật ký riêng biệt và được cung cấp khi yêu cầu cho cấp độ Doanh nghiệp.
5. Cơ sở hạ tầng
AlphaBot chạy trên AWS ở nhiều vùng (us-east-1, us-west-2, ap-southeast-1) được chọn để gần gũi các công cụ khớp sàn giao dịch. Chúng tôi không chia sẻ cơ sở dữ liệu với bất kỳ bên thứ ba nào. Các triển khai sản xuất yêu cầu xác thực đa yếu tố, chỉ là thông tin đăng nhập tồn tại ngắn và được ghi lại trong nhật ký kiểm toán nhà khai thác.
6. Tiết lộ lỗ hổng
Nếu quý khách tin rằng quý khách đã tìm thấy một vấn đề bảo mật, vui lòng gửi email security@alphabot.deeplogic.software. Chúng tôi nhằm thừa nhận trong một ngày làm việc và cung cấp kế hoạch khắc phục trong vòng năm.
Chúng tôi đang chuẩn bị một chương trình tiền thưởng lỗ hổng chính thức với mức thanh toán được mở rộng theo mức nghiêm trọng (thấp / trung bình / cao / tới hạn). Cho đến khi nó hoạt động, chúng tôi sẽ công nhận tiết lộ có trách nhiệm công khai (với sự đồng ý của người báo cáo) và thanh toán tiền thưởng tùy ý cho các báo cáo hợp lệ, trong phạm vi. Ngoài phạm vi: bất kỳ thứ gì yêu cầu thỏa hiệp thông tin xác thực sàn giao dịch của người dùng cuối, những phát hiện không ảnh hưởng đến sản phẩm, từ chối dịch vụ chống lại cơ sở hạ tầng được chia sẻ, kỹ thuật xã hội của nhân viên.
Những gì chúng tôi không (chưa) khẳng định
Chúng tôi không khẳng định chứng chỉ SOC 2 hoặc ISO 27001. Cả hai đều nằm trên lộ trình của chúng tôi và chúng tôi sẽ công bố người kiểm toán và báo cáo khi mỗi cái hoàn thành. Cho đến lúc đó, các kiểm soát được mô tả ở trên là những gì chúng tôi có thể đứng sau hôm nay.