Seguridad

Seguridad

Ang pagkompromiso sa cyber security ay maaaring magdulot ng malaking banta sa iyong mga personal na pinansyal na asset. Ang bitwallet ay patuloy na gumagawa ng mga estratehiya para pangalagaan ang aming mga customer laban sa mga banta sa seguridad.

Sinusunod ng bitwallet ang pinakamahuhusay na kagawian at prinsipyo ng industriya na nakasulat sa Executive Order sa ilalim ng Improving Critical Infrastructure Cybersecurity. Nagbibigay-daan ito sa bitwallet na matupad ang mga internasyonal na pamantayan ng seguridad at pagbutihin ang katatagan ng imprastraktura. Ang mga sumusunod ay ang mga hakbang sa seguridad ng impormasyon batay sa Framework of National Institute of Standards and Technology (NIST), na binubuo ng tatlong bahagi: ang Framework Core, ang Implementation Tiers, at ang Framework Profiles.

Framework Core

Ang Framwork Core ay binubuo ng limang function – Kilalanin, Protektahan, Detect, Tumugon, Mabawi.

1. Kilalanin

(1) Nag-aalok ng kustodiya at pamamahala ng mga ari-arian ng customer

Ligtas na protektado ang mga asset ng user sa bitwallet. Ang mga asset tulad ng currency ay pinamamahalaan nang hiwalay sa isang secure na paraan.

(2) High-level Financial Institution Management

Ang mataas na antas ng pinansiyal na institusyon na nagbebenta ay hindi lamang dapat magpatupad ng mga hakbang sa seguridad sa system mismo kundi pati na rin ang pagpapabuti sa organisasyon at proseso. Dahil dito, nagpatupad ang bitwallet ng isang balangkas ng seguridad na may kakayahang mag-trigger ng proseso ng pagbawi sa pagtuklas ng anomalya; pagtukoy sa ugat na sanhi at upang masuri kaagad ang anomalya. Nilalayon naming ipatupad ang feature na ito, at pinuhin pa ito.

2. Protektahan

2.1 Pag-encrypt

(1) SSL Certificate

Gumagamit ang bitwallet ng teknolohiya ng SSL encryption para sa mga komunikasyon sa data. Ang SSL ay isang sertipiko ng seguridad na nagbibigay-daan sa isang secure na koneksyon sa pagitan ng aming platform at server habang tinitiyak na mananatiling kumpidensyal ang lahat ng data.

(2) Sertipiko ng SSL-VPN

Ang aming network server na SSL-VPN ay naka-encrypt upang maiwasan ang hindi awtorisadong third party na pag-access mula sa pagnanakaw ng data dahil ang lahat ng data ay ie-encrypt bago ipadala.

2.2 Firewall Network Security

(1) Firewall

Ang firewall ay gumaganap bilang isang filter sa pagitan ng network at internet. Ang firewall ay nagdaragdag ng seguridad sa aming server dahil pinipigilan nito ang mga banta gaya ng malware, virus na maipadala.

(2) Web Application Firewall

Gumagamit ang bitwallet ng web application firewall (WAF) upang maprotektahan laban sa mga malisyosong pagtatangka na ikompromiso ang aming system o i-exfiltrate ang aming data. Hinaharangan ng bitwallet WAF ang karaniwang pattern ng pag-atake para sa aming operating system, software at serbisyo.

(3) IP Anycast

Ang pag-atake ng Dos (Denial of Service) ay isang pagtatangka na bahain ang network ng user ng walang gamit na trapiko, pag-atake gamit ang mga spam na email (mail bomb) at maramihang ping request packet na nagiging sanhi ng pagsara ng makina o network, na ginagawa itong hindi naa-access sa mga nilalayong user . Mayroon ding pag-atake ng DDoS na permanenteng mag-crash ng network functionality. Gumagamit ang bitwallet ng IP Anycast upang i-redirect ang kahilingan palayo.

(4) Intrusion Detection System (IDS)

Sa pagtanggap ng maramihang trapiko sa network sa server, nasusubaybayan at natutukoy ng IDS ang kahina-hinalang aktibidad at naglalabas ng mga alerto sa kanila. Ang system ay may kakayahang gumawa ng mga aksyon sa natuklasang malisyosong aktibidad at hindi magandang trapiko. Gumagamit ang bitwallet ng 2 uri ng mga system – Network Intrusion Detection System at Host Intrusion Detection System. Ang network intrusion detection ay sumusubaybay sa papasok at papalabas na trapiko habang ang host intrusion detection ay maaaring tumukoy ng malisyosong trapiko na nanggagaling sa mismong host.

(5) Pinag-isang Pamamahala sa Banta (UTM)

Pinagsasama-sama ng UTM ang maramihang mga serbisyo sa seguridad at mga tampok tulad ng IDS, IPS at iba pang mga nilalaman ng web upang maprotektahan ang bitwallet mula sa mga banta sa seguridad.

2.3 Pagpapatunay ng Pagkakakilanlan

(1) Malakas na Password

Ang muling paggamit o paggawa ng isang simpleng password na may mga titik lamang tulad ng "bitcoin" ay ginagawa itong mahina at madaling masira. Pinapayagan lang ng bitwallet ang malakas na password na naglalaman ng mahabang kumbinasyon ng mga upper at lower case na character, numero at mga bantas, na ginagawang mas mahirap masira.

(2) Lock ng Account

Kung ang user ay may maraming nabigong pagtatangka sa pag-login, ito ay kukunin bilang hindi awtorisadong pag-access mula sa ikatlong partido at bilang resulta, ang account ay mai-lock. I-reset ang iyong password kung nakalimutan mo ito. Mare-recover lang ang iyong account kapag dumaan ka sa pagpapatunay ng pagkakakilanlan.

(3) 2-Factor Authentication

Upang maiwasan ang hindi awtorisadong pag-access mula sa third party, ang 2-Factor Authentication (2FA) ay magsisilbing karagdagang layer ng seguridad kapag nag-log in ka sa bitwallet. Mangangailangan ang user ng password ng account at sa pangalawang pagkakataon na mag-log in gamit ang kanilang sariling token upang ma-access ang kanilang account. Ginagawa nitong mas mahirap para sa mga potensyal na nanghihimasok na makakuha ng access dahil wala silang token para mag-login.

(4) Subaybayan ang Kasaysayan ng Pag-login

Ise-save ang iyong kasaysayan sa pag-log in sa server sa tuwing mag-log in ka mula sa isang partikular na device o sa pamamagitan ng web, kabilang ang pangkalahatang lokasyon at IP address. Tingnan ang mga ito upang makita kung mayroong anumang hindi nakikilalang pag-login.

(5) Timeout ng Session

Kung hindi ka aktibo nang ilang sandali pagkatapos mag-log in, awtomatiko kang masa-sign out sa iyong account upang maiwasan ang hindi awtorisadong pag-access.

2.4 Mga Panukala sa Programa

(1) Cross-Site Scripting

Ang cross-site na scripting ay isang panseguridad na pag-atake kung saan maaaring sundan ng umaatake ang isang mahinang website mula sa ibang pinagkakatiwalaang website. Ang bitwallet ay nilinis para maiwasan ang ganitong uri ng pag-atake. Ang data na potensyal na mapanganib ay aalisin o babaguhin sa proseso na ginagawa itong hindi maipapatupad.

(2) SQL Injection

Ang SQL injection ay isang programming language na ginagamit upang makipag-ugnayan sa mga mahina at open source na database. Magpapadala ito ng mga utos sa server upang ibunyag ang impormasyon ng user. Ang bitwallet ay gumagamit ng input sanitization ay pumipigil sa malisyosong commacn na maisakatuparan. Papalitan ang data sa hindi maipapatupad na wikang SQL.

(3) Cross-Site Request Forgery

Ang cross-site request forgery ay isang panseguridad na pag-atake na pumipilit sa user na magsagawa ng mga hindi gustong aksyon na hindi napatotohanan. Gumagamit ang bitwallet ng secured coding at WAF para harangan ang naturang potensyal na mapaminsalang pag-atake habang sinusubaybayan ang sistema ng seguridad.

(4) Brute Force Attack

Ang brute force attack ay isang trial at error na paraan ng pag-crack ng password sa pamamagitan ng pagde-decode ng iba't ibang password upang masira ang iyong account sa pamamagitan ng puwersa. Paggamit ng malakas na password at pagtatakda ng 2FA upang palakasin ang iyong account mula sa pag-atakeng ito dahil mai-lock ang iyong account sa loob ng limitadong mga pagsubok.

(5) Pag-encrypt ng Password

Ang password na iyong ipinasok ay ie-encrypt at ise-save sa database, sasailalim sa proseso ng pag-hash sa pamamagitan ng pagdaragdag ng asin sa password, na ginagawa itong kumplikadong basahin.

(6) IP Whitelisting

Tanging ang naka-whitelist na IP address ang maaaring magpatuloy sa transaksyon ng pagbabayad sa bitwallet. Ang paggamit at pag-access ng anumang hindi nakikilalang IP address ay haharangan.

2.5 Pagsusuri sa Operasyon

(1) Pagsusumite ng Selfie

Ang pagsusumite ng Dokumento ng Pagkakakilanlan, Katibayan ng Address ng Residential at Selfie ay kinakailangan. Ang selfie ay pinagtibay ng iba't ibang bansa sa Kanluran para sa layunin ng online na pag-verify ng pagkakakilanlan. Ang layunin ng pagpapatunay ng naturang pamamaraan ay upang maiwasan ang pagnanakaw ng pekeng pagkakakilanlan na mangyari.

(2) Mail o SMS Authentication

Isang nabuong ID ang ipapadala sa iyo sa pamamagitan ng mail o SMS para sa pagpapatunay kung nais mong taasan ang limitasyon ng credit card. Ang pagpapatunay ay makukumpleto kapag naipasok mo na ang ID sa loob ng ibinigay na oras.

(3) Kumpirmasyon ng Withdrawal Bank Account

Susuriin ng aming koponan ang maling impormasyon ng account tulad ng pangalan ng bangko, pangalan ng sangay at numero ng account araw-araw.

(4) Kumpirmasyon ng Remitter Account

Ang lahat ng impormasyon ng transaksyon ay mabe-verify bago ipadala at maaaring maantala dahil sa karagdagang oras na kinakailangan para sa pagsusuri. Pakisama ang iyong Account Identification Number (Account ID + 3 Digits) sa Pangalan ng Remitter sa panahon ng bank transfer.

(5) Outsource Mga Di-awtorisadong Pagsusuri sa Paggamit

Nakipag-ugnayan kami sa isang serbisyong outsource upang subaybayan ang pang-araw-araw na paggamit ng bawat user upang mapansin ang anumang hindi awtorisadong paggamit.

(6) Mga Alituntunin sa Pag-withdraw at Pag-refund

Upang maiwasan ang mga kaso ng money laundering at maling paggamit ng credit card, susuriin muna namin nang manu-mano ang nakaraang kasaysayan ng paggamit ng user bago magawa ang anumang refund at withdrawal na transaksyon. Makakatulong ito upang matigil ang anumang pandaraya sa card sa oras.

3. Alamin

(1) Pagsusuri sa Server

Sa sandaling matagpuan ang anumang error sa aming server, ang isang emergency na tawag ay isaaktibo sa pamamagitan ng aming naka-iskedyul na awtomatikong pagsusuri sa server, na isinasara ang lahat ng system upang mabawasan ang mga pinsalang maaaring makuha nito.

(2) Pag-encrypt ng Database

Ie-encrypt lahat ang iyong sensitibong data habang iniimbak sa aming database. Ang naka-encrypt na data ay mahirap i-decrypt.

(3) Independent Fraud Detection System

Ang pampublikong blockchain ay isang network na nilikha gamit ang multiples node. Ito ay ganap na bukas at sinuman ay maaaring sumali at lumahok sa network. Nangangailangan ang Node ng pagsubaybay sa proseso at pagganap nito. Ang bitwallet ay nagpatupad ng isang monitoring server na nagbibigay-daan sa real-time na koleksyon ng impormasyon ng bawat tala habang sine-save ang pag-log down nito. Nagbibigay-daan ito sa amin na suriin at maisagawa ang anumang hindi awtorisadong pag-access o transaksyon na natukoy nang maaga gamit ang pagpapatunay sa pagitan ng transaksyon ng mga node.

4. Tumugon

(1) Mga Contingency Plan

Ang mga contingency plan ay nakalagay upang matugunan ang mga pagkabigo sa seguridad. Ang mga pag-iwas at pag-iwas ay mahusay na nabalangkas at naisakatuparan sa pamamagitan ng pagkakaroon ng malawak na mga hamon na nakabatay sa senaryo na ginagaya ang mga pagkabigo sa seguridad.

(2) Pagsusuri ng Insidente

Ang bitwallet ay dumaan sa maraming pagsubok sa pagpapatunay at pagsusuri sa panahon ng proseso ng pag-develop at magpapatuloy na magsasagawa ng pagsusuri sa seguridad pagkatapos itong mailabas. Kung mayroong anumang butas sa seguridad na natuklasan sa panahon ng pagsusuri, ang koponan ay gagawa sa paghahanap at pagwawasto ng problema nang mabilis.

5. Mabawi

(1) Mga Plano sa Pagbawi

Ang mga plano sa pag-recover ay nasa lugar upang tugunan ang mga pagkabigo sa seguridad at isinasagawa batay sa malawak at detalyadong mga hakbang na nakasulat sa manual ng pag-troubleshoot na nagbibigay-daan sa mas mabilis na oras ng pagbawi.

(2) Ang koponan ng engineering ay patuloy na nagtatrabaho sa pagpapabuti ng katatagan at bumubuo ng solusyon para sa bagong panganib

Ang koponan ng bitwallet ay binubuo ng mga espesyalista sa pag-encrypt, mga propesyonal na indibidwal at mga mahuhusay na inhinyero sa paglaban sa hindi inaasahang panganib gamit ang pinakabagong teknolohiya.

(3) Pagbutihin ang Proseso ng Pagtugon sa Seguridad

Kung sakaling magkaroon ng magkasanib na pagkabigo sa seguridad sa pagitan ng maraming kumpanya, ise-save at ia-archive ang impormasyon para sa pagbabahagi upang mapabuti ang pagsusulatan ng data. Bilang karagdagan, ang patuloy na pagsusuri at pagpapahusay ay ginagawa sa proseso ng pagtugon upang harapin ang mga paglabag sa seguridad.

Ang Mga Tier ng Pagpapatupad

Ang mga antas ay nagpapakita kung paano ipinapatupad ng isang organisasyon ang mga pangunahing pag-andar at pinamamahalaan ang panganib nito. Nilalayon ng bitwallet na makamit ang pinakamataas na antas na may pinahusay na proseso ng pamamahala.

1. Proseso ng Pamamahala sa Panganib

Sa bitwallet, ang mga hakbang sa pamamahala sa peligro sa seguridad ay inaprubahan ng pamamahala at itinatag bilang isang patakaran. Tatalakayin ng aming team ang mga hakbang sa seguridad bilang pangunahing priyoridad.

2. Integrated Risk Management Program

Ang sinuman at lahat ng empleyado ng bitwallet ay lumahok sa pamamahala ng peligro ay nauugnay sa impormasyon sa cybersecurity.

Profile ng Framework

Ang profile na tumutulong sa bitwallet na magtatag ng roadmap upang bawasan ang panganib sa cybersecurity at ilarawan ang ating kasalukuyang estado, nais na target na estado at proseso ng pamamahala sa peligro.

Ang bitwallet ay batay sa United States Executive Order – “Framework for Improving Critical Infrastructure Cybersecurity” at pinagsasama ang pinakamahuhusay na kagawian sa industriya mula sa internasyonal na pananaw.

---

Mga Karagdagang Sugnay

Ang ipinapakitang bayad ay magsisimula sa Hulyo 1, 2018.

Rebisyon

Ang 2.5 Operational Check (1) Selfie Submission ay binago noong Agosto 1, 2018.
Ang 1. Identify ay binago noong Enero 21, 2022.