Sécurité

Sécurité

Compromettre la cybersécurité peut constituer une menace importante pour vos actifs financiers personnels. bitwallet s'appuie constamment sur des stratégies pour protéger nos clients contre les menaces de sécurité.

bitwallet respecte les meilleures pratiques et principes de l’industrie énoncés dans le décret intitulé Améliorer la cybersécurité des infrastructures critiques. Cela permet à bitwallet de respecter les normes de sécurité internationales et d’améliorer la résilience de l’infrastructure. Voici les mesures de sécurité des informations basées sur le cadre du National Institute of Standards and Technology (NIST), qui se composent de trois parties : le noyau du cadre, les niveaux de mise en œuvre et les profils du cadre.

Noyau du cadre

Le Framwork Core est composé de cinq fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer.

1. Identifiez

(1) Offre de garde et de gestion des actifs des clients.

Les actifs de l'utilisateur sont protégés en toute sécurité sur bitwallet. Les actifs tels que les devises sont gérés séparément de manière sécurisée.

(2) Gestion des institutions financières de haut niveau

Les courtiers d'institutions financières de haut niveau doivent non seulement mettre en œuvre des mesures de sécurité sur le système lui-même, mais également améliorer l'organisation et les processus. A ce titre, bitwallet a mis en place un cadre de sécurité capable de déclencher un processus de récupération lors de la détection d'une anomalie ; identifier la cause profonde et diagnostiquer l’anomalie rapidement. Nous avons l'intention de mettre en œuvre cette fonctionnalité et de l'affiner davantage.

2. Protéger

2.1 Chiffrement

(1) Certificat SSL

bitwallet utilise la technologie de cryptage SSL pour les communications de données. SSL est un certificat de sécurité qui permet une connexion sécurisée entre notre plateforme et notre serveur tout en garantissant la confidentialité de toutes les données.

(2) Certificat SSL-VPN

Notre serveur réseau SSL-VPN est crypté pour empêcher tout accès non autorisé par des tiers de voler des données, car toutes les données seront cryptées avant la transmission.

2.2 Sécurité du réseau par pare-feu

(1) Pare-feu

Le pare-feu agit comme un filtre entre le réseau et Internet. Le pare-feu ajoute de la sécurité à notre serveur car il empêche la transmission de menaces telles que les logiciels malveillants et les virus.

(2) Pare-feu d'applications Web

bitwallet utilise un pare-feu d'application Web (WAF) pour se protéger contre les tentatives malveillantes visant à compromettre notre système ou à exfiltrer nos données. bitwallet WAF bloque les modèles d'attaque courants pour notre système d'exploitation, nos logiciels et nos services.

(3) IP Anycast

Une attaque Dos (Denial of Service) est une tentative d'inonder le réseau de l'utilisateur avec du trafic inutile, une attaque avec des courriers indésirables (mail bomb) et plusieurs paquets de requêtes ping qui provoquent l'arrêt d'une machine ou d'un réseau, le rendant inaccessible aux utilisateurs prévus. . Il existe également des attaques DDoS qui feront planter définitivement les fonctionnalités du réseau. bitwallet utilise IP Anycast pour rediriger la demande.

(4) Système de détection d'intrusion (IDS)

Lors de la réception de plusieurs trafics réseau vers le serveur, IDS est capable de surveiller et de détecter les activités suspectes et d'émettre des alertes parmi elles. Le système est capable de prendre des mesures en cas d'activité malveillante découverte et de trafic anormal. bitwallet utilise 2 types de systèmes : le système de détection d'intrusion dans le réseau et le système de détection d'intrusion dans l'hôte. La détection des intrusions réseau surveille le trafic entrant et sortant, tandis que la détection des intrusions sur l'hôte peut identifier le trafic malveillant provenant de l'hôte lui-même.

(5) Gestion unifiée des menaces (UTM)

UTM consolide plusieurs services et fonctionnalités de sécurité tels que l'IDS, l'IPS et d'autres contenus Web pour protéger bitwallet contre les menaces de sécurité.

2.3 Vérification de l'identité

(1) Mot de passe fort

Réutiliser ou créer un mot de passe simple avec uniquement des lettres telles que « bitcoin » le rend faible et facile à casser. bitwallet autorise uniquement les mots de passe forts contenant une longue combinaison de caractères majuscules et minuscules, de chiffres et de signes de ponctuation, ce qui rend plus difficile à déchiffrer.

(2) Verrouillage du compte

Si l'utilisateur échoue à plusieurs reprises pour se connecter, cela sera considéré comme un accès non autorisé d'un tiers et, par conséquent, le compte sera verrouillé. Réinitialisez votre mot de passe si vous l'avez oublié. Votre compte ne sera récupéré qu'après avoir passé par l'authentification de votre identité.

(3) Authentification à 2 facteurs

Pour empêcher tout accès non autorisé par des tiers, l'authentification à 2 facteurs (2FA) agira comme une couche de sécurité supplémentaire lorsque vous vous connecterez à bitwallet. L'utilisateur aura besoin du mot de passe du compte et d'une deuxième connexion avec son propre jeton pour accéder à son compte. Cela rend plus difficile l’accès des intrus potentiels car ils ne disposent pas du jeton pour se connecter.

(4) Surveiller l'historique de connexion

Votre historique de connexion sera enregistré sur le serveur chaque fois que vous vous connecterez à partir d'un appareil particulier ou via le Web, y compris l'emplacement général et l'adresse IP. Affichez-les pour voir s'il existe des connexions non reconnues.

(5) Expiration de session

Si vous restez inactif pendant un certain temps après vous être connecté, vous serez automatiquement déconnecté de votre compte pour empêcher tout accès non autorisé.

2.4 Mesures du programme

(1) Scripts intersites

Le cross-site scripting est une attaque de sécurité dans laquelle un attaquant peut s'attaquer à un site Web vulnérable à partir d'un autre site Web de confiance. bitwallet est désinfecté pour empêcher ce type d’attaque. Les données potentiellement dangereuses seront supprimées ou modifiées au cours du processus, les rendant inexécutables.

(2) Injection SQL

L'injection SQL est un langage de programmation utilisé pour communiquer avec des bases de données vulnérables et open source. Il enverra des commandes au serveur pour divulguer les informations de l'utilisateur. bitwallet utilise la désinfection des entrées pour empêcher l'exécution de communications malveillantes. Les données seront modifiées en langage SQL inexécutable.

(3) Contrefaçon de demande intersite

La falsification de requêtes intersites est une attaque de sécurité qui oblige l’utilisateur à exécuter des actions indésirables qui ne sont pas authentifiées. bitwallet utilise un codage sécurisé et WAF pour bloquer ces attaques potentiellement dangereuses tout en surveillant le système de sécurité.

(4) Attaque par force brute

L'attaque par force brute est une méthode de piratage de mot de passe par essais et erreurs en décodant divers mots de passe pour forcer l'accès à votre compte. Utilisez un mot de passe fort et configurez 2FA pour renforcer votre compte contre cette attaque, car votre compte sera verrouillé dans un nombre limité de tentatives.

(5) Cryptage du mot de passe

Le mot de passe que vous avez saisi sera crypté et enregistré dans la base de données, subira un processus de hachage en ajoutant du sel au mot de passe, ce qui le rendra complexe à lire.

(6) Liste blanche IP

Seule l'adresse IP sur liste blanche peut procéder à une transaction de paiement sur bitwallet. L'utilisation et l'accès par toute adresse IP non reconnue seront bloqués.

2.5 Vérification opérationnelle

(1) Soumission de selfies

La présentation d'une pièce d'identité, d'un justificatif d'adresse résidentielle et d'un selfie est requise. Le selfie a été adopté par divers pays occidentaux à des fins de vérification d’identité en ligne. Le but de cette vérification d’une telle procédure est d’empêcher une fausse usurpation d’identité de se produire.

(2) Authentification par courrier ou SMS

Un identifiant généré vous sera envoyé par courrier ou SMS pour authentification si vous souhaitez augmenter la limite de la carte de crédit. L'authentification sera terminée une fois que vous aurez saisi l'identifiant dans le délai imparti.

(3) Confirmation du compte bancaire de retrait

Notre équipe vérifiera quotidiennement les informations de compte incorrectes telles que le nom de la banque, le nom de la succursale et le numéro de compte.

(4) Confirmation du compte émetteur

Toutes les informations de transaction seront vérifiées avant l'envoi et peuvent être retardées en raison du temps supplémentaire requis pour la vérification. Veuillez inclure votre numéro d'identification de compte (ID de compte + 3 chiffres) dans le nom de l'émetteur lors d'un virement bancaire.

(5) Externaliser les contrôles d’utilisation non autorisée

Nous avons engagé un service externalisé pour surveiller l'utilisation quotidienne de chaque utilisateur afin de détecter toute utilisation non autorisée.

(6) Directives de retrait et de remboursement

Pour éviter les cas de blanchiment d'argent et d'utilisation abusive de la carte de crédit, nous examinerons d'abord manuellement l'historique d'utilisation de l'utilisateur avant qu'une transaction de remboursement et de retrait puisse être effectuée. Cela aidera à mettre fin à toute fraude à la carte à temps.

3. Détecter

(1) Examen du serveur

Une fois qu'une erreur est détectée sur notre serveur, un appel d'urgence sera activé via notre examen automatique programmé du serveur, arrêtant tout le système afin de minimiser les dommages qu'il pourrait subir.

(2) Cryptage de la base de données

Vos données sensibles seront toutes cryptées lors de leur stockage dans notre base de données. Les données cryptées sont difficiles à déchiffrer.

(3) Système indépendant de détection de fraude

Une blockchain publique est un réseau créé avec plusieurs nœuds. Il est totalement ouvert et tout le monde peut rejoindre et participer au réseau. Node nécessite une surveillance de son processus et de ses performances. bitwallet a mis en place un serveur de surveillance qui permet de collecter en temps réel les informations de chaque note tout en enregistrant son journal. Cela nous permet de vérifier et de mettre en œuvre tout accès non autorisé ou transaction détectée précocement grâce à la validation entre les transactions des nœuds.

4. Répondez

(1) Plans d'urgence

Des plans d’urgence sont en place pour remédier aux failles de sécurité. Les contre-mesures et la prévention sont formulées et exécutées efficacement grâce à de nombreux défis basés sur des scénarios imitant les défaillances de sécurité.

(2) Analyse des incidents

bitwallet a subi de nombreux tests de validation et analyses au cours du processus de développement et continuera à effectuer des contrôles de sécurité après sa sortie. Si une faille de sécurité est découverte lors du contrôle, l’équipe s’efforcera de localiser et de corriger rapidement le problème.

5. Récupérer

(1) Plans de rétablissement

Des plans de récupération sont en place pour remédier aux failles de sécurité et sont exécutés sur la base des étapes détaillées et détaillées écrites dans le manuel de dépannage qui permettent un temps de récupération plus rapide.

(2) L'équipe d'ingénierie travaille constamment à l'amélioration de la stabilité et à la formulation de solutions pour les nouveaux risques.

L'équipe bitwallet est composée de spécialistes du cryptage, de professionnels et d'ingénieurs compétents dans la lutte contre les risques inattendus grâce aux dernières technologies.

(3) Améliorer le processus de réponse de sécurité

En cas de faille de sécurité commune entre plusieurs entreprises, les informations seront sauvegardées et archivées pour être partagées afin d'améliorer la correspondance des données. De plus, des examens et des améliorations constants sont apportés au processus de réponse pour faire face aux failles de sécurité.

Les niveaux de mise en œuvre

Les niveaux reflètent la manière dont une organisation met en œuvre les fonctions de base et gère ses risques. bitwallet vise à atteindre le niveau le plus élevé avec un processus de gestion amélioré.

1. Processus de gestion des risques

Chez bitwallet, les mesures de gestion des risques de sécurité sont approuvées par la direction et établies sous forme de politique. Notre équipe accordera la priorité absolue aux mesures de sécurité.

2. Programme de gestion intégrée des risques

Tous les collaborateurs de bitwallet participent à la gestion des risques liés aux informations de cybersécurité.

Profil de cadre

Le profil qui aide bitwallet à établir une feuille de route pour réduire les risques de cybersécurité et à décrire notre état actuel, l'état cible souhaité et le processus de gestion des risques.

bitwallet est basé sur le décret américain « Framework for Improving Critical Infrastructure Cybersecurity » et combine les meilleures pratiques du secteur dans une perspective internationale.

---

Clauses supplémentaires

Les frais affichés débuteront à partir du 1er juillet 2018.

Révision

La soumission de selfie 2.5 Vérification opérationnelle (1) a été révisée le 1er août 2018.
Le 1. Identifier a été révisé le 21 janvier 2022.