Segurança

Segurança

Comprometer a segurança cibernética pode representar uma grande ameaça aos seus ativos financeiros pessoais. A bitwallet está constantemente desenvolvendo estratégias para proteger nossos clientes contra ameaças à segurança.

O bitwallet observa as melhores práticas e princípios do setor escritos na Ordem Executiva em Melhoria da Segurança Cibernética de Infraestruturas Críticas. Isto permite que o bitwallet cumpra os padrões internacionais de segurança e melhore a resiliência da infraestrutura. A seguir estão as medidas de segurança da informação baseadas na Estrutura do Instituto Nacional de Padrões e Tecnologia (NIST), que consiste em três partes: o Núcleo da Estrutura, os Níveis de Implementação e os Perfis da Estrutura.

Núcleo da Estrutura

O Framwork Core é composto por cinco funções – Identificar, Proteger, Detectar, Responder, Recuperar.

1. Identifique

(1) Oferecer custódia e gestão de ativos do cliente

Os ativos do usuário são protegidos com segurança no bitwallet. Ativos como moeda são gerenciados separadamente e de maneira segura.

(2) Gestão de instituições financeiras de alto nível

O revendedor de instituições financeiras de alto nível não deve apenas implementar medidas de segurança no próprio sistema, mas também melhorar a organização e o processo. Como tal, o bitwallet implementou uma estrutura de segurança capaz de desencadear um processo de recuperação após a detecção de anomalias; identificar a causa raiz e diagnosticar a anomalia prontamente. Pretendemos implementar esse recurso e refiná-lo ainda mais.

2. Proteja

2.1 Criptografia

(1) Certificado SSL

bitwallet usa tecnologia de criptografia SSL para comunicações de dados. SSL é um certificado de segurança que permite uma conexão segura entre nossa plataforma e o servidor, garantindo que todos os dados permaneçam confidenciais.

(2) Certificado SSL-VPN

Nosso servidor de rede SSL-VPN é criptografado para evitar o roubo de dados por acesso não autorizado de terceiros, pois todos os dados serão criptografados antes da transmissão.

2.2 Firewall de segurança de rede

(1) Firewall

O firewall atua como um filtro entre a rede e a Internet. O firewall adiciona segurança ao nosso servidor, pois evita a transmissão de ameaças como malware e vírus.

(2) Firewall de aplicativos da Web

O bitwallet usa firewall de aplicativo da web (WAF) para proteção contra tentativas maliciosas de comprometer nosso sistema ou exfiltrar nossos dados. bitwallet WAF bloqueia padrões de ataque comuns para nosso sistema operacional, software e serviço.

(3) IP Anycast

Um ataque Dos (Denial of Service) é uma tentativa de inundar a rede do usuário com tráfego inútil, ataque com e-mails de spam (mail bomb) e vários pacotes de solicitação de ping que fazem com que uma máquina ou rede seja desligada, tornando-a inacessível aos usuários pretendidos. . Existem também ataques DDoS que travarão permanentemente a funcionalidade da rede. bitwallet usa IP Anycast para redirecionar a solicitação.

(4) Sistema de Detecção de Intrusão (IDS)

Ao receber vários tráfegos de rede no servidor, o IDS é capaz de monitorar e detectar atividades suspeitas e emitir alertas entre elas. O sistema é capaz de tomar medidas em relação a atividades maliciosas descobertas e tráfego anormal. bitwallet usa 2 tipos de sistemas – Sistema de detecção de intrusão de rede e Sistema de detecção de intrusão de host. A detecção de intrusão de rede monitora o tráfego de entrada e saída, enquanto a detecção de intrusão de host pode identificar o tráfego malicioso que chega ao próprio host.

(5) Gerenciamento Unificado de Ameaças (UTM)

UTM consolida vários serviços e recursos de segurança, como IDS, IPS e outros conteúdos da web para proteger bitwallet contra ameaças à segurança.

2.3 Verificação de Identidade

(1) Senha forte

Reutilizar ou criar uma senha simples apenas com letras como “bitcoin” torna-a fraca e fácil de ser quebrada. bitwallet permite apenas senhas fortes que contenham uma longa combinação de caracteres maiúsculos e minúsculos, números e sinais de pontuação, dificultando a quebra.

(2) Bloqueio de conta

Se o usuário tiver várias tentativas de login malsucedidas, isso será considerado como acesso não autorizado de terceiros e, como resultado, a conta será bloqueada. Redefina sua senha caso a tenha esquecido. Sua conta só será recuperada quando você passar pela autenticação de identidade.

(3) Autenticação de 2 fatores

Para evitar o acesso não autorizado de terceiros, a autenticação de 2 fatores (2FA) atuará como uma camada extra de segurança quando você fizer login no bitwallet. O usuário exigirá a senha da conta e um segundo login com seu próprio token para acessar sua conta. Isso torna mais difícil o acesso de possíveis invasores, pois eles não possuem o token para fazer login.

(4) Monitorar histórico de login

Seu histórico de login será salvo no servidor sempre que você fizer login em um dispositivo específico ou pela web, incluindo a localização geral e o endereço IP. Visualize-os para ver se há algum login não reconhecido.

(5) Tempo limite da sessão

Se você ficar inativo por algum tempo após fazer login, você será automaticamente desconectado da sua conta para evitar acesso não autorizado.

2.4 Medidas do Programa

(1) Scripting entre sites

O script entre sites é um ataque de segurança em que o invasor pode perseguir um site vulnerável de outro site confiável. O bitwallet é higienizado para evitar esse tipo de ataque. Dados potencialmente perigosos serão removidos ou alterados no processo, tornando-os inexecutáveis.

(2) Injeção SQL

A injeção de SQL é uma linguagem de programação usada para se comunicar com bancos de dados vulneráveis e de código aberto. Ele enviará comandos ao servidor para divulgar informações do usuário. bitwallet usa higienização de entrada para impedir a execução de comunicações maliciosas. Os dados serão alterados para linguagem SQL inexecutável.

(3) Falsificação de solicitação entre sites

A falsificação de solicitação entre sites é um ataque à segurança que força o usuário a executar ações indesejadas que não são autenticadas. bitwallet usa codificação segura e WAF para bloquear ataques potencialmente prejudiciais enquanto monitora o sistema de segurança.

(4) Ataque de Força Bruta

O ataque de força bruta é um método de tentativa e erro de quebra de senha, decodificando várias senhas para invadir sua conta à força. Usando uma senha forte e configurando 2FA para fortalecer sua conta contra esse ataque, pois sua conta será bloqueada em tentativas limitadas.

(5) Criptografia de senha

A senha que você digitou será criptografada e salva no banco de dados, passando por um processo de hash adicionando salt à senha, tornando-a complexa de ler.

(6) Lista de permissões de IP

Somente endereços IP na lista de permissões podem prosseguir com a transação de pagamento em bitwallet. O uso e o acesso de qualquer endereço IP não reconhecido serão bloqueados.

2.5 Verificação Operacional

(1) Envio de selfie

É necessária apresentação de Documento de Identidade, Comprovante de Endereço Residencial e Selfie. Selfie foi adotado por vários países ocidentais para fins de verificação de identidade online. O objetivo de verificação de tal procedimento é evitar a ocorrência de roubo de identidade falsa.

(2) Autenticação de correio ou SMS

Um ID gerado será enviado a você por correio ou SMS para autenticação se desejar aumentar o limite do cartão de crédito. A autenticação será concluída assim que você inserir o ID dentro do prazo determinado.

(3) Confirmação de retirada de conta bancária

Nossa equipe verificará diariamente informações incorretas da conta, como nome do banco, nome da agência e número da conta.

(4) Confirmação da conta do remetente

Todas as informações da transação serão verificadas antes do envio e poderão sofrer atrasos devido ao tempo adicional necessário para verificação. Inclua o número de identificação da sua conta (ID da conta + 3 dígitos) no nome do remetente durante uma transferência bancária.

(5) Terceirizar verificações de uso não autorizado

Contratamos um serviço terceirizado para monitorar o uso diário de cada usuário e verificar qualquer uso não autorizado.

(6) Diretrizes para retirada e reembolso

Para evitar casos de lavagem de dinheiro e uso indevido de cartão de crédito, primeiro revisaremos manualmente o histórico de uso anterior do usuário antes que qualquer transação de reembolso e retirada possa ser feita. Isso ajudará a impedir qualquer fraude com cartão a tempo.

3. Detectar

(1) Exame do Servidor

Assim que for encontrado algum erro em nosso servidor, uma chamada de emergência será ativada através de nosso exame automático programado do servidor, desligando todo o sistema para minimizar os danos que possam ocorrer.

(2) Criptografia de banco de dados

Seus dados confidenciais serão todos criptografados durante o armazenamento em nosso banco de dados. Os dados criptografados são difíceis de descriptografar.

(3) Sistema Independente de Detecção de Fraude

Um blockchain público é uma rede criada com múltiplos nós. É totalmente aberto e qualquer pessoa pode aderir e participar da rede. O Node requer monitoramento de seu processo e desempenho. O bitwallet implementou um servidor de monitoramento que permite a coleta de informações em tempo real de cada nota enquanto salva seu log. Isso nos permite verificar e agir em caso de qualquer acesso ou transação não autorizada detectada antecipadamente, usando a validação entre as transações dos nós.

4. Responda

(1) Planos de Contingência

Existem planos de contingência para resolver falhas de segurança. As contramedidas e a prevenção são formuladas e executadas com eficiência por meio de extensos desafios baseados em cenários que imitam falhas de segurança.

(2) Análise de Incidentes

O bitwallet passou por muitos testes de validação e análises durante o processo de desenvolvimento e continuará a realizar verificações de segurança após ser lançado. Caso seja descoberta alguma falha de segurança durante a verificação, a equipe trabalhará para localizar e corrigir o problema rapidamente.

5. Recuperar

(1) Planos de Recuperação

Planos de recuperação estão em vigor para resolver falhas de segurança e são executados com base nas etapas extensas e detalhadas escritas no manual de solução de problemas que permitem um tempo de recuperação mais rápido.

(2) A equipe de engenharia trabalha constantemente para melhorar a estabilidade e formular soluções para novos riscos

A equipe bitwallet é formada por especialistas em criptografia, profissionais e engenheiros habilidosos no combate a riscos inesperados com a tecnologia mais recente.

(3) Melhorar o processo de resposta de segurança

No caso de uma falha de segurança conjunta entre várias empresas, as informações serão salvas e arquivadas para compartilhamento para melhorar a correspondência de dados. Além disso, são feitas revisões e melhorias constantes no processo de resposta para lidar com violações de segurança.

Os níveis de implementação

Os níveis refletem como uma organização implementa as funções essenciais e gerencia seus riscos. O bitwallet visa atingir o nível mais alto com processo de gerenciamento aprimorado.

1. Processo de Gestão de Riscos

No bitwallet, as medidas de gestão de riscos de segurança são aprovadas pela administração e estabelecidas como uma política. Nossa equipe abordará as medidas de segurança como prioridade máxima.

2. Programa Integrado de Gestão de Riscos

Todo e qualquer funcionário do bitwallet participa do gerenciamento de riscos relacionados às informações de segurança cibernética.

Perfil da Estrutura

O perfil que ajuda o bitwallet a estabelecer um roteiro para reduzir o risco de segurança cibernética e a descrever nosso estado atual, o estado alvo desejado e o processo de gerenciamento de riscos.

O bitwallet é baseado na Ordem Executiva dos Estados Unidos – “Estrutura para Melhorar a Segurança Cibernética de Infraestruturas Críticas” e combina as melhores práticas do setor a partir de uma perspectiva internacional.

---

Cláusulas Adicionais

A taxa exibida começará a partir de 1º de julho de 2018.

Revisão

A Verificação Operacional 2.5 (1) Envio de Selfie foi revisada em 1º de agosto de 2018.
O 1. Identifique foi revisado em 21 de janeiro de 2022.