BoxExchanger
  • Вернутся на сайт
  • Начало работы
    • Настройка безопасности
      • Создание админа
      • Настройка прав администратора (роли)
      • Установка двухфакторной аутентификация
      • Ограничения доступа админ панели по IP
        • Установка ограничения на CloudFlare
        • Установка ограничений в админ панели
      • Установка ограничение по header host
    • Настройка дизайна
    • Технические работы
    • Уведомление на сайте
      • Создание
      • Редактирование
    • Избраные курсы
      • Создание
      • Редактирование
    • Подключение онлайн чата
      • Подключение чата LiveChat
      • Подключение чата JivoSite
      • Подключение чата HelpCrunch
    • Добавление контактов
    • Настройка почты
      • Отправка копии отправленных писем
      • Подключение GMail почты
      • Подключение Zoho почты
      • Подключение dynadot почты
    • Вопросы и ответы
      • Создать
    • Настройка AntiBot системы
      • Установка reCAPTCHA
    • Правила
      • Создание
      • AML/KYC Политика
    • Партнеры
      • Создание партнера
      • Редактирование
    • Новости
      • Создание
    • Отзывы
      • Создать
      • Список отзывов
    • Статичные страницы
      • Создание
    • Настройки авторизации пользователя
    • Настройка идентификаторов
    • Настройка истории действий
  • Обмен
    • Валюты
      • Список валют
      • Логотип валюты
      • Название валюты
      • Тип валюты
      • Точность суммы
      • XML валюты
      • Курс к USD
      • Резервы
      • Настройка поля валюты
      • Прием платежей
      • Настройка выплаты
      • AML проверка
      • Верификация
    • Сортировка направлений
    • Направление
      • Приоритетные модули
      • Плавающий курс
      • Страховка курса
      • SEO-friendly URL (ЧПУ)
      • Документы
      • Дополнительные услуги
    • Настройка группы направлений
    • Мерчант и АПИ
      • 001k bot
        • Мерчант 001k bot
        • Выплаты 001k bot
      • Биржа whitebit
        • Взаимодействие модулей
        • Мерчант whitebit
        • Выплаты whitebit
      • BetPay
        • Мерчант BetPay
        • Выплаты BetPay.money
      • Heleket
        • Мерчант Heleket
        • Выплаты Heleket
      • Paylink.finance
        • Мерчант Paylink.finance
        • Выплаты Paylink.finance
      • VelPay
        • Выплаты VelPay
      • Мерчант BSC BEP20
      • Мерчант Billline
      • Мерчант Bitconce
      • Мерчант By password
      • Мерчант Dynamic requisites
      • Мерчант EVM Token
      • Мерчант ETH ERC20
      • Мерчант TRON TRC20
      • Мерчант Monerod
      • Мерчант Payeer
      • Мерчант Perfect Money
      • Мерчант WestWallet.io
      • Настройка Inqud
      • Выплаты Agents Telegram
      • Выплаты Auto Success
      • Выплаты Binance
      • Выплаты Kuna.io
      • Выплаты PSPline
      • Выплаты WestWallet.io
    • Парсер курсов
      • BestChange v2
      • BetPay.Money
      • CurrencyLayer
      • Heleket
      • Kurs.Expert
      • PancakeSwap
      • Paylink.finance
      • VelPay
      • whitebit v2
      • XML file
    • Верификации
    • Расчет суммы обмена
  • Заявки
    • Список обменов
    • Заявки
      • Статусы заявки
    • Автоматическое добавление резерва
  • Партнерская программа
    • Партнерские направления
    • Партнёрские обмены
    • Реферальные настройки
  • AML плагины
    • CUBE3
    • CrystalBlockchain
    • AMLBot.com
    • GetBlock.net
  • Дополнительные системы
    • Внутренний кошелек
    • Расписания
    • Approve underpaid orders
    • Heleket модули
      • Heleket auto update fee
      • Heleket control available
      • Heleket auto min amount for TO currency
    • Install plugin
    • KYC модули
      • KYC Модуль Kycaid
      • KYC Модуль AMLBot
      • KYC Модуль SumSub
    • Whitebit модули
      • WhiteBit Exchanger auto update fee
      • WhiteBIT control available
      • WhiteBIT auto min amount for TO currency
    • BestChange ScamAPI
  • Системы авторизации
    • Авторизация Apple
    • Авторизация Google
  • Для разработчиков
    • Установка проекта
      • Сервер для обменника
        • Vultr
        • DigitalOcean
          • Удаление VDS на DigitalOcean
        • Hetzner Cloud
          • Изменения размера VDS на Hetzner
          • Удаление VDS на Hetzner
      • Настройки CloudFlare
      • Установка Nginx
      • Установка ПО
        • Установка NodeJs
        • Установка MongoDB
        • Установка exchanger-api
        • Установка exchanger-web
        • Настройка сборки на CloudFlare Workers
    • Настройка Telegram Bot
    • Доступ к исходному коду
    • Миграция Git BoxExchanger
    • Разработка client-web
      • Локальный запуск
      • Применения изменений
    • Шаблоны писем
      • Локализация шаблонов
    • Загрузка статического файла
    • Структура проекта
    • Настройки API документации
    • Установка Node
      • Bitcoin Node
      • Monero Node
      • Ethereum Node
      • Tron Node
    • Разработка модулей
      • Мерчант системы
      • Модуль выплат
      • Парсер курсов
    • Отправка логов разработчикам
    • Процессинг платежей API
    • Настройка VPN (openvpn)
    • Установка SOCKS5-прокси
    • Настройка бекап на B2
    • Настройка Firewall
      • Настройка доступа порта 22 (ssh)
      • Настройка доступа портов 80,443 (http/s)
      • IP в белый список CloudFlare
    • Webhook уведомления URL
      • Новый обмен
      • Новая верификация (ручная)
      • Обновление статуса заявки
      • Регистрация пользователя
  • Журнал изменений
Powered by GitBook
On this page

Was this helpful?

  1. Начало работы

Настройка безопасности

Внимание наша команда не несет ответсвенности! За потери понесенные в результате взлома поэтому рекомендуем использовать холодные кошельки и не хранить все в доступе обменика во избежание больших потерь.

Рекомендации по безопасности

  1. Не устанавливайте на ваше устройство стороннее ПО (с которого входите в админ панель) даже с магазина приложений приложение должно иметь хорошую репутацию.

  2. Используйте ограничение доступа по ИП для доступа к админ панели. (если у вас динамический ИП установите свой личный ВПН со стабильным ип)

  3. Проверяйте репутацию исполнителей! Никогда не переводите средства первым, исполнителям которые вам не знакомы лучше воспользуйтесь услугами гаранта (только проверенные сервисы гаранта) также не стесняйтесь спросить у нас совета или помощь по проведению сделок это бесплатно.

  4. Для каждого администратора/оператора должен быть создан админ аккаунт.

  5. Созданы специальные роли операторов и администраторов (если их несколько) так чтоб оператор имел ограниченый доступ к функциям админ панели.

  6. Используйте 2фа безопасность для доступа к админ панели

  7. Следуйте инструкциям описаным в разделе Настройка безопасности на сервере

  8. Регулярно обновляйте ПО для того чтоб оперативно получать наши обновления безопасности

  9. Не используйте пароль для доступа который используете в других сервисах и не храните пароль на сторонних сервисам которым вы не можете доверить данные пароли (к примеру мы считаем 1password безопасным сервисом для сохранения ваших паролей но мы не можем гарантировать безопасность данных сервисов)

  10. Не выполняете код в консоли разработчика без достаточных знаний о том что вы выполняете это может предоставить ваши данные авторизации мошенникам.

  11. Не устанавливайте стороннее плагины в браузере.

  12. Не устанавливайте сторонние скрипты в репозиторий exchanger-admin-web

  13. Не открывайте порты mongodb redis ssh ftp api для внешнего доступа лучше использовать SSH туннель для доступа к данным сервиса.

  14. Также для SSH используйте UFW или подобные правила для ограничение доступа к серверу только с вашего IP

  15. Не передавайте ваши данные от Админ панели третим лица наша служба поддержки некогда не пишет вам и не просит передать данные для входа

  16. Настраивайте авто выплаты только на направлениях в которых вы уверены.

Рекомендации безопасности от BestChange

Безопасность доступа

  1. 2FA входа в панель управления сайтом;

  2. дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;

  3. доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;

  4. разграничение прав доступа для разных сотрудников;

  5. запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;

  6. оповещение о факте входа в панель администратора;

  7. оповещение о ключевых действиях оператора, администратора;

  8. отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;

  9. запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;

  10. на устройствах, с которых осуществляется работа установлены платные антивирусные программы с оперативно обновляемыми базами и модулями;

  11. принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.

Безопасность рабочего процесса

  1. осуществление передачи реквизитов только через сайт обменного пункта;

  2. в состав обязательных реквизитов входит актуальный E-mail клиента;

  3. замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;

  4. на сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;

  5. ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;

  6. прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);

  7. приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;

  8. при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;

  9. при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях [обязательное];

  10. организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

Проверка персонала

  1. подписание соглашений, устанавливающих уровень ответственности сотрудников;

  2. проведение тестов с применением полиграфа на регулярной основе.

Last updated 11 months ago

Was this helpful?