Сигурност
Как защитаваме нашата услуга, какво се случва по време на транзакция и какво искаме от вас, за да запазите вашата криптовалута в безопасност.
Сигурността в Unramp е свързана с три неща. Защита на услугата, която използвате. Направете транзакцията безопасна. И бъдете честни относно това, което попада във вашата отговорност — защото в модела без попечителство част от пътуването е под ваш контрол.
Ние управляваме система за управление на информационната сигурност, съобразена с ISO/IEC 27001, и прилагаме изискванията на Закона за цифрова оперативна устойчивост на Европейския съюз (DORA) пропорционално на нашия мащаб и рисков профил като CASP от клас 2.
Всяка транзакция е защитена чрез криптиране при транзит, силно удостоверяване при плащане и проверка на блокчейн преди доставка.
След като крипто-актив бъде доставен във вашия портфейл, той вече не е в нашата инфраструктура. Поддържането му в безопасност от този момент е ваша отговорност — и ние излагаме по-долу какво означава това на практика.
Как защитаваме нашата услуга
Ние сме регулирана фирма за финансови услуги. Сигурността на нашата услуга се управлява от Система за управление на информационната сигурност, съобразена с международния стандарт ISO/IEC 27001 и със Закона за цифрова оперативна устойчивост на Европейския съюз (Регламент (ЕС) 2022/2554, известен като DORA). DORA определя специфични задължения за финансовите субекти по отношение на информационните и комуникационни технологии — обхващащи управление на риска, докладване на инциденти, тестове за устойчивост и управление на доставчици на ИКТ трети страни.
На практика това означава, че поддържаме структуриран набор от политики и контроли, обхващащи въпросите, които съществено засягат безопасността на нашата услуга:
Документирани политики за работата на нашата система за управление на сигурността, с посочени собственици, определени цикли на преглед и надзор от висшето ръководство.
Рамка за оценка на риска за информационната сигурност, която идентифицира, анализира и третира рисковете в нашите хора, процеси, технологии и информационни активи, преразглеждани редовно и при съществени промени.
Управление на самоличността и достъпа, ролеви контроли за достъп, многофакторно удостоверяване за персонала и незабавно отнемане на достъп при прекратяване.
Всички чувствителни данни се криптират при пренос и в покой, като се използват алгоритми и дължини на ключовете, които отговарят на признатите индустриални стандарти. Криптографските ключове се управляват съгласно документиран стандарт с редовна ротация.
Критичните данни и системи се архивират в съответствие с документирана политика за архивиране на данни. Тестваме възстановяванията редовно, така че възстановяването да не е само теоретично.
Промените в софтуера преминават през преглед на кода, автоматизирано тестване и контролиран конвейер за внедряване. Няма директен производствен достъп за отделни оператори; всяка промяна се проследява, преглежда и подлежи на одит.
Поддържаме политика за управление на инциденти и документиран план за реакция при инциденти. Инцидентите се класифицират, ескалират, ограничават и коригират съгласно определени процедури, с надзор от страна на висшето ръководство за съществени инциденти.
Рамка за непрекъснатост на бизнеса и възстановяване след бедствие, която се занимава с това как поддържаме критични услуги да работят при прекъсване и как възстановяваме услугата, когато нещо се повреди.
Нашата политика за управление на доставчици на трети страни урежда начина, по който избираме, сключваме договори и наблюдаваме доставчиците на технологии, на които разчитаме, включително повишените изисквания, които DORA налага на доставчиците на услуги, поддържащи критични или важни функции.
Независим вътрешен одит на нашите контроли за сигурност, преразглеждани периодично спрямо контролните цели на ISO/IEC 27001 и изискванията на DORA.
Тези политики са вътрешни документи. Ние не ги публикуваме изцяло, защото съдържат оперативни подробности, които биха компрометирали контролите, които описват. Те са достъпни, в извадки или в пълен вид, при поискване от нашия надзорен орган и от квалифицирани контрагенти при спазване на необходимата поверителност.
Сигурност в пътуването на транзакцията
От момента, в който стартирате транзакция до момента, в който крипто-актив пристигне в портфейла ви, пътуването преминава през няколко отделни контролно-пропускателни точки за сигурност. Всеки е там, за да защити различен риск.
Вашата връзка с нашия уебсайт е криптирана с помощта на TLS. Ние наблюдаваме нашия периметър за необичайна или враждебна дейност и ограничаваме и проверяваме автоматизирания трафик. Идентификационните данни за удостоверяване никога не се предават в ясен текст.
Вашите документи за самоличност и поддържащите проверки се обработват от специализирани доставчици на удостоверяване на самоличността, работещи при независими регулирани режими. Данните, които събират, се обработват за нашите правни задължения за AML/CFT и за предотвратяване на измами и се запазват само за периодите, изисквани от приложимото законодателство. Личните данни се обработват в съответствие с нашата Политика за поверителност.
Плащанията се обработват чрез лицензирани доставчици на платежни услуги, които прилагат силно удостоверяване на клиента (SCA), когато се изисква от Директивата за платежните услуги – обикновено еднократен код от вашата банка, биометрична проверка или одобрение в приложението. Ние не съхраняваме пълния номер на вашата карта. Картовите плащания преминават през платежна инфраструктура, съвместима с PCI-DSS.
Преди да прехвърлим криптоактив във вашия портфейл, адресът на целевия портфейл се проверява срещу блокчейн анализи, които проверяват за връзки към санкционирани адреси, престъпна дейност или други високорискови модели. Транзакциите, които не преминат тази проверка, се прехвърлят за преглед.
Транзакцията се подписва с помощта на многостранна изчислителна система за попечителство, управлявана от специализиран доставчик на попечителство. Системата за попечителство прилага свой собствен вътрешен контрол — включително ограничения на транзакциите, управление и одит — преди прехвърлянето да бъде излъчено към блокчейна. След като бъде излъчена, транзакцията е необратима: това е естеството на блокчейн транзакциите, а не характеристика на нашата услуга. Хешът на транзакцията е включен във вашия имейл за потвърждение, така че можете да проверите прехвърлянето независимо в блокчейн изследовател.
Вашата част
В нашия модел без попечителство има ясна точка, в която сигурността на транзакцията преминава от нас към вас: в момента, в който крипто-активът пристигне във вашия портфейл. До този момент нашите контроли вършат по-голямата част от работата. След тази точка вашите контроли го правят.
Ние комуникираме с вас по имейл — за потвърждения на транзакции, проверка на самоличността и всякакви известия за услуги. Вашият имейл адрес е точката за контакт между вас и Unramp. Пазете го безопасно.
Вашият портфейл е ваш собствен. Ние не го контролираме, не можем да видим вътре в него и не можем да възстановим съдържанието му, ако е изгубено или компрометирано. Няколко практически точки:
Разпознаване на имитация
Фишингът, фалшивата поддръжка и представянето под чужда самоличност са най-честите начини, по които отделните потребители на крипто губят пари. Те са много по-често срещани от всеки вид техническа атака на регулирана платформа. Ето как да разпознаете най-честите модели.
Unramp никога няма да
Ви помоли за личния ключ на портфейла ви, фразата за възстановяване или началните думи. Не поради някаква причина. Няма сценарий, при който да имаме нужда от тях — те са само ваши.
Ви помоли да инсталирате софтуер, разширения за браузър или достъп до отдалечен работен плот на вашето устройство, за да разрешите проблем с вашата транзакция.
Ви каже да изпратите криптоактиви на предоставен от нас адрес, за да потвърдите баланс, да отключите транзакция, да възстановите средства или по друга причина.
Ви се обади по телефона внезапно, за да обсъди вашата транзакция или да предложи услуга за възстановяване. Ние не извършваме изходящи обаждания към клиенти.
Се свърже с вас чрез Telegram, WhatsApp, Discord, Instagram или друга платформа за директни съобщения, дори ако акаунтът използва нашето име или лого.
Ако някое от тези неща се случи, вие не говорите с Unramp. Спрете, не отговаряйте и ни уведомете на адреса по-долу. Единственият каноничен уеб домейн за нашата услуга е unramp.com. Винаги проверявайте URL адреса, преди да въведете идентификационни данни или да копирате адрес.
Известие за инциденти и нарушения
Дори със силен контрол, никоя услуга не е имунизирана срещу инциденти. Когато нещо се обърка, ние имаме дефиниран отговор: ограничаваме проблема, оценяваме въздействието му, уведомяваме всеки, който трябва да бъде уведомен, коригираме причината и се учим от нея. Нашата рамка за управление на инциденти е съобразена с изискванията на DORA относно класификацията и докладването на инциденти с ИКТ.
Когато даден инцидент засяга клиенти, ние ще уведомим засегнатите клиенти директно чрез данните за контакт в техния клиентски профил. Когато даден инцидент достигне прага на нарушение на сигурността на личните данни по смисъла на Общия регламент за защита на данните, ние ще уведомим Комисията за защита на личните данни на Република България в определените от закона срокове и ще уведомим засегнатите субекти на данни, когато е необходимо.
Докладване на уязвимост или проблем със сигурността
Ако смятате, че сте открили уязвимост на сигурността в нашата услуга или ако сте забелязали проблем със сигурността от всякакъв вид — включително представяне под чужда самоличност, фишинг или измама, насочена към клиенти на Unramp — искаме да чуем вашето мнение.
Канал за отчет за сигурност
[email protected]Моля, включете описание на това, което сте наблюдавали, стъпките за възпроизвеждане (където е уместно) и всички подкрепящи доказателства. Ние потвърждаваме незабавно докладите за сигурност и информираме репортерите, докато разследваме. В момента не поддържаме публична програма за награди за грешки. Изследователите, които съобщават за уязвимости отговорно, могат да очакват да бъдат третирани с уважение: ние няма да предприемем правни действия срещу добросъвестни изследвания, които се придържат към координиран подход за разкриване, не нарушават нашите услуги или нашите клиенти и нямат достъп до данни, които не са техни.
Проверка, че имате работа с истинския Unramp
Преди да извършите транзакция, преди да щракнете върху нещо и всеки път, когато имате съмнение: уверете се, че имате работа с истинския Unramp. Три бързи проверки.
Единственият каноничен уеб домейн за нашата услуга е unramp.com. Подобни домейни и поддомейни, хоствани другаде, не сме ние.
Unramp OOD е регистрирано като Доставчик на услуги за виртуални активи към Комисията за финансов надзор на Република България под регистрация ВВ-128/28.11.2022 г. Можете да проверите това в публичния регистър на FSC, свързан от нашата страница с лицензи.
Нашите официални данни за контакт са публикувани на страницата Свържете се с нас. Имейл адресите за запитвания ([email protected]), съответствие ([email protected]), правни заявки ([email protected]), сигурност ([email protected]) и преса ([email protected]) се намират в домейна unramp.com. Ние не се свързваме с клиенти от лични имейл адреси или акаунти в социални медии.
