Настройка безопасности

Внимание наша команда не несет ответсвенности! За потери понесенные в результате взлома поэтому рекомендуем использовать холодные кошельки и не хранить все в доступе обменика во избежание больших потерь.

Рекомендации по безопасности

  1. Не устанавливайте на ваше устройство стороннее ПО (с которого входите в админ панель) даже с магазина приложений приложение должно иметь хорошую репутацию.

  2. Используйте ограничение доступа по ИП для доступа к админ панели. (если у вас динамический ИП установите свой личный ВПН со стабильным ип)

  3. Проверяйте репутацию исполнителей! Никогда не переводите средства первым, исполнителям которые вам не знакомы лучше воспользуйтесь услугами гаранта (только проверенные сервисы гаранта) также не стесняйтесь спросить у нас совета или помощь по проведению сделок это бесплатно.

  4. Для каждого администратора/оператора должен быть создан админ аккаунт.

  5. Созданы специальные роли операторов и администраторов (если их несколько) так чтоб оператор имел ограниченый доступ к функциям админ панели.

  6. Используйте 2фа безопасность для доступа к админ панели

  7. Следуйте инструкциям описаным в разделе Настройка безопасности на сервере

  8. Регулярно обновляйте ПО для того чтоб оперативно получать наши обновления безопасности

  9. Не используйте пароль для доступа который используете в других сервисах и не храните пароль на сторонних сервисам которым вы не можете доверить данные пароли (к примеру мы считаем 1password безопасным сервисом для сохранения ваших паролей но мы не можем гарантировать безопасность данных сервисов)

  10. Не выполняете код в консоли разработчика без достаточных знаний о том что вы выполняете это может предоставить ваши данные авторизации мошенникам.

  11. Не устанавливайте стороннее плагины в браузере.

  12. Не устанавливайте сторонние скрипты в репозиторий exchanger-admin-web

  13. Не открывайте порты mongodb redis ssh ftp api для внешнего доступа лучше использовать SSH туннель для доступа к данным сервиса.

  14. Также для SSH используйте UFW или подобные правила для ограничение доступа к серверу только с вашего IP

  15. Не передавайте ваши данные от Админ панели третим лица наша служба поддержки некогда не пишет вам и не просит передать данные для входа

  16. Настраивайте авто выплаты только на направлениях в которых вы уверены.

Рекомендации безопасности от BestChange

Безопасность доступа

  1. 2FA входа в панель управления сайтом;

  2. дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;

  3. доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;

  4. разграничение прав доступа для разных сотрудников;

  5. запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;

  6. оповещение о факте входа в панель администратора;

  7. оповещение о ключевых действиях оператора, администратора;

  8. отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;

  9. запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;

  10. на устройствах, с которых осуществляется работа установлены платные антивирусные программы с оперативно обновляемыми базами и модулями;

  11. принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.

Безопасность рабочего процесса

  1. осуществление передачи реквизитов только через сайт обменного пункта;

  2. в состав обязательных реквизитов входит актуальный E-mail клиента;

  3. замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;

  4. на сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;

  5. ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;

  6. прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);

  7. приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;

  8. при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;

  9. при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях [обязательное];

  10. организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

Проверка персонала

  1. подписание соглашений, устанавливающих уровень ответственности сотрудников;

  2. проведение тестов с применением полиграфа на регулярной основе.

Last updated