Bảo vệ

Bảo vệ

Việc xâm phạm an ninh mạng có thể gây ra mối đe dọa lớn cho tài sản tài chính cá nhân của bạn. bitwallet không ngừng xây dựng các chiến lược để bảo vệ khách hàng của mình trước các mối đe dọa bảo mật.

bitwallet tuân thủ các nguyên tắc và biện pháp thực hành tốt nhất trong ngành được ghi trong Sắc lệnh điều hành trong phần Cải thiện an ninh mạng cơ sở hạ tầng quan trọng. Điều này cho phép bitwallet đáp ứng các tiêu chuẩn bảo mật quốc tế và cải thiện khả năng phục hồi của cơ sở hạ tầng. Sau đây là các biện pháp bảo mật thông tin dựa trên Khung của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), bao gồm ba phần: Cốt lõi Khung, Các Tầng Triển khai và Hồ sơ Khung.

Cốt lõi khung

Framwork Core bao gồm năm chức năng – Xác định, Bảo vệ, Phát hiện, Phản hồi, Phục hồi.

1. Xác định

(1) Cung cấp quyền trông giữ và quản lý tài sản của khách hàng

Tài sản của người dùng được bảo vệ an toàn trên bitwallet. Các tài sản như tiền tệ được quản lý riêng biệt một cách an toàn.

(2) Quản lý tổ chức tài chính cấp cao

Nhà giao dịch tổ chức tài chính cấp cao không chỉ nên thực hiện các biện pháp bảo mật trên chính hệ thống mà còn phải cải thiện tổ chức và quy trình. Do đó, bitwallet đã triển khai khung bảo mật có khả năng kích hoạt quá trình khôi phục khi phát hiện sự bất thường; xác định nguyên nhân gốc rễ và chẩn đoán sự bất thường kịp thời. Chúng tôi dự định triển khai tính năng này và cải tiến thêm tính năng này.

2. Bảo vệ

2.1 Mã hóa

(1) Chứng chỉ SSL

bitwallet sử dụng công nghệ mã hóa SSL để liên lạc dữ liệu. SSL là chứng chỉ bảo mật cho phép kết nối an toàn giữa nền tảng và máy chủ của chúng tôi đồng thời đảm bảo tất cả dữ liệu được giữ bí mật.

(2) Chứng chỉ SSL-VPN

Máy chủ mạng của chúng tôi được mã hóa SSL-VPN để ngăn chặn việc truy cập trái phép của bên thứ ba lấy cắp dữ liệu vì tất cả dữ liệu sẽ được mã hóa trước khi truyền.

2.2 Bảo mật mạng tường lửa

(1) Tường lửa

Tường lửa hoạt động như một bộ lọc giữa mạng và internet. Tường lửa tăng cường bảo mật cho máy chủ của chúng tôi vì nó ngăn chặn các mối đe dọa như phần mềm độc hại, vi rút lây truyền.

(2) Tường lửa ứng dụng web

bitwallet sử dụng tường lửa ứng dụng web (WAF) để bảo vệ khỏi các nỗ lực độc hại nhằm xâm phạm hệ thống của chúng tôi hoặc lấy cắp dữ liệu của chúng tôi. bitwallet WAF chặn kiểu tấn công phổ biến đối với hệ điều hành, phần mềm và dịch vụ của chúng tôi.

(3) IP Anycast

Cuộc tấn công Dos (Từ chối dịch vụ) là một nỗ lực nhằm làm tràn ngập mạng người dùng với lưu lượng truy cập vô dụng, tấn công bằng email spam (bom thư) và nhiều gói yêu cầu ping khiến máy hoặc mạng ngừng hoạt động, khiến người dùng dự định không thể truy cập được . Ngoài ra còn có các cuộc tấn công DDoS sẽ làm hỏng chức năng mạng vĩnh viễn. bitwallet sử dụng IP Anycast để chuyển hướng yêu cầu đi.

(4) Hệ thống phát hiện xâm nhập (IDS)

Khi nhận được nhiều lưu lượng truy cập mạng đến máy chủ, IDS có thể giám sát và phát hiện hoạt động đáng ngờ và đưa ra cảnh báo trong số đó. Hệ thống có khả năng thực hiện hành động đối với hoạt động độc hại được phát hiện và lưu lượng truy cập bất thường. bitwallet sử dụng 2 loại hệ thống – Hệ thống phát hiện xâm nhập mạng và Hệ thống phát hiện xâm nhập máy chủ. Tính năng phát hiện xâm nhập mạng giám sát lưu lượng truy cập vào và ra trong khi tính năng phát hiện xâm nhập máy chủ có thể xác định lưu lượng truy cập độc hại đến từ chính máy chủ đó.

(5) Quản lý mối đe dọa thống nhất (UTM)

UTM hợp nhất nhiều dịch vụ và tính năng bảo mật như IDS, IPS và các nội dung web khác để bảo vệ bitwallet khỏi các mối đe dọa bảo mật.

2.3 Xác minh danh tính

(1) Mật khẩu mạnh

Việc sử dụng lại hoặc tạo một mật khẩu đơn giản chỉ có các chữ cái như “bitcoin” sẽ khiến mật khẩu yếu và dễ bị phá. bitwallet chỉ cho phép mật khẩu mạnh có chứa sự kết hợp dài giữa ký tự in hoa và in thường, số và dấu chấm câu, khiến việc phá vỡ khó khăn hơn.

(2) Khóa tài khoản

Nếu người dùng đăng nhập nhiều lần không thành công, hành động đó sẽ bị coi là truy cập trái phép từ bên thứ ba và kết quả là tài khoản sẽ bị khóa. Đặt lại mật khẩu của bạn nếu bạn quên nó. Tài khoản của bạn sẽ chỉ được phục hồi khi bạn đã trải qua quá trình xác thực danh tính.

(3) Xác thực 2 yếu tố

Để ngăn chặn sự truy cập trái phép từ bên thứ ba, Xác thực 2 yếu tố (2FA) sẽ hoạt động như một lớp bảo mật bổ sung khi bạn đăng nhập vào bitwallet. Người dùng sẽ yêu cầu mật khẩu tài khoản và đăng nhập lần thứ hai bằng mã thông báo của riêng họ để truy cập vào tài khoản của họ. Điều này khiến những kẻ xâm nhập tiềm năng khó truy cập hơn vì họ không có mã thông báo để đăng nhập.

(4) Theo dõi lịch sử đăng nhập

Lịch sử đăng nhập của bạn sẽ được lưu trong máy chủ mỗi khi bạn đăng nhập từ một thiết bị cụ thể hoặc thông qua web, bao gồm vị trí chung và địa chỉ IP. Xem chúng để xem có bất kỳ thông tin đăng nhập nào không được nhận dạng hay không.

(5) Thời gian chờ của phiên

Nếu bạn không hoạt động trong một thời gian sau khi đăng nhập, bạn sẽ tự động bị đăng xuất khỏi tài khoản của mình để ngăn chặn việc truy cập trái phép.

2.4 Các biện pháp chương trình

(1) Tập lệnh chéo trang

Kịch bản chéo trang là một cuộc tấn công bảo mật trong đó kẻ tấn công có thể truy lùng một trang web dễ bị tấn công từ một trang web đáng tin cậy khác. bitwallet được khử trùng để ngăn chặn kiểu tấn công này. Dữ liệu nguy hiểm tiềm tàng sẽ bị xóa hoặc thay đổi trong quá trình khiến dữ liệu không thể thực thi được.

(2) Tiêm SQL

SQL SQL là ngôn ngữ lập trình được sử dụng để giao tiếp với cơ sở dữ liệu nguồn mở và dễ bị tấn công. Nó sẽ gửi lệnh đến máy chủ để tiết lộ thông tin người dùng. bitwallet sử dụng tính năng khử trùng đầu vào để ngăn chặn việc thực thi dấu phẩy độc hại. Dữ liệu sẽ được thay đổi thành ngôn ngữ SQL không thể thực thi được.

(3) Giả mạo yêu cầu trên nhiều trang web

Giả mạo yêu cầu chéo trang là một cuộc tấn công bảo mật buộc người dùng thực hiện các hành động không mong muốn mà không được xác thực. bitwallet sử dụng mã hóa bảo mật và WAF để chặn cuộc tấn công có hại như vậy trong khi giám sát hệ thống bảo mật.

(4) Tấn công vũ phu

Tấn công Brute Force là một phương pháp bẻ khóa mật khẩu thử và sai bằng cách giải mã các mật khẩu khác nhau để đột nhập tài khoản của bạn bằng vũ lực. Sử dụng mật khẩu mạnh và đặt 2FA để bảo vệ tài khoản của bạn khỏi cuộc tấn công này vì tài khoản của bạn sẽ bị khóa trong một số lần thử giới hạn.

(5) Mã hóa mật khẩu

Mật khẩu bạn đã nhập sẽ được mã hóa và lưu vào cơ sở dữ liệu, trải qua quá trình băm bằng cách thêm muối vào mật khẩu, khiến mật khẩu trở nên phức tạp khi đọc.

(6) Danh sách trắng IP

Chỉ địa chỉ IP trong danh sách trắng mới có thể tiến hành giao dịch thanh toán ở mức bitwallet. Việc sử dụng và truy cập bởi bất kỳ địa chỉ IP không được nhận dạng nào sẽ bị chặn.

2.5 Kiểm tra hoạt động

(1) Gửi ảnh selfie

Cần phải nộp Giấy tờ tùy thân, Bằng chứng về địa chỉ cư trú và Ảnh selfie. Selfie đã được nhiều nước phương Tây áp dụng cho mục đích xác minh danh tính trực tuyến. Mục đích xác minh của quy trình như vậy là để ngăn chặn hành vi trộm danh tính giả xảy ra.

(2) Xác thực qua thư hoặc SMS

ID được tạo sẽ được gửi cho bạn qua thư hoặc SMS để xác thực nếu bạn muốn tăng hạn mức thẻ tín dụng. Việc xác thực sẽ được hoàn thành sau khi bạn nhập ID trong thời gian nhất định.

(3) Xác nhận tài khoản ngân hàng rút tiền

Nhóm của chúng tôi sẽ kiểm tra thông tin tài khoản không chính xác như tên ngân hàng, tên chi nhánh và số tài khoản hàng ngày.

(4) Xác nhận tài khoản người gửi

Mọi thông tin giao dịch sẽ được xác minh trước khi gửi và có thể bị chậm trễ do cần thêm thời gian để kiểm tra. Vui lòng bao gồm Số nhận dạng tài khoản của bạn (ID tài khoản + 3 chữ số) vào Tên người gửi khi chuyển khoản ngân hàng.

(5) Thuê ngoài kiểm tra việc sử dụng trái phép

Chúng tôi đã thuê một dịch vụ thuê ngoài để giám sát việc sử dụng hàng ngày của mỗi người dùng nhằm phát hiện bất kỳ hành vi sử dụng trái phép nào.

(6) Hướng dẫn rút tiền và hoàn tiền

Để ngăn chặn các trường hợp rửa tiền và lạm dụng thẻ tín dụng, trước tiên chúng tôi sẽ xem xét thủ công lịch sử sử dụng trước đây của người dùng trước khi thực hiện bất kỳ giao dịch hoàn tiền và rút tiền nào. Điều này sẽ giúp ngăn chặn mọi hành vi gian lận thẻ kịp thời.

3. Phát hiện

(1) Kiểm tra máy chủ

Khi phát hiện bất kỳ lỗi nào trong máy chủ của chúng tôi, cuộc gọi khẩn cấp sẽ được kích hoạt thông qua việc kiểm tra máy chủ tự động theo lịch trình của chúng tôi, tắt tất cả hệ thống để giảm thiểu thiệt hại có thể xảy ra.

(2) Mã hóa cơ sở dữ liệu

Tất cả dữ liệu nhạy cảm của bạn sẽ được mã hóa khi lưu trữ trong cơ sở dữ liệu của chúng tôi. Dữ liệu được mã hóa rất khó giải mã.

(3) Hệ thống phát hiện gian lận độc lập

Chuỗi khối công khai là một mạng được tạo bằng nhiều nút. Nó hoàn toàn mở và bất kỳ ai cũng có thể tham gia và tham gia vào mạng lưới. Nút yêu cầu giám sát quá trình và hiệu suất của nó. bitwallet đã triển khai một máy chủ giám sát cho phép thu thập thông tin theo thời gian thực của từng ghi chú trong khi lưu nhật ký của nó. Điều này cho phép chúng tôi kiểm tra và thực hiện hành động đối với mọi truy cập hoặc giao dịch trái phép được phát hiện sớm bằng cách sử dụng xác thực giữa giao dịch của các nút.

4. Trả lời

(1) Kế hoạch dự phòng

Các kế hoạch dự phòng được đưa ra để giải quyết các lỗi bảo mật. Các biện pháp đối phó và phòng ngừa được xây dựng và thực hiện một cách hiệu quả bằng cách đặt ra các thách thức dựa trên kịch bản rộng lớn bắt chước các lỗi bảo mật.

(2) Phân tích sự cố

bitwallet đã trải qua nhiều thử nghiệm và phân tích xác thực trong quá trình phát triển và sẽ tiếp tục thực hiện kiểm tra bảo mật sau khi được phát hành. Nếu có bất kỳ lỗ hổng bảo mật nào được phát hiện trong quá trình kiểm tra, nhóm sẽ cố gắng xác định và khắc phục sự cố nhanh chóng.

5. Phục hồi

(1) Kế hoạch phục hồi

Các kế hoạch khôi phục được đưa ra để giải quyết các lỗi bảo mật và được thực hiện dựa trên các bước mở rộng và chi tiết được ghi trong sổ tay hướng dẫn khắc phục sự cố nhằm cho phép thời gian khôi phục nhanh hơn.

(2) Đội ngũ kỹ thuật không ngừng nỗ lực cải thiện tính ổn định và đưa ra giải pháp cho rủi ro mới

Nhóm bitwallet bao gồm các chuyên gia mã hóa, cá nhân chuyên nghiệp và kỹ sư lành nghề trong việc chống lại rủi ro bất ngờ bằng công nghệ mới nhất.

(3) Cải thiện quy trình phản hồi bảo mật

Trong trường hợp xảy ra lỗi bảo mật chung giữa nhiều công ty, thông tin sẽ được lưu và lưu trữ để chia sẻ nhằm cải thiện khả năng trao đổi dữ liệu. Ngoài ra, chúng tôi còn thực hiện đánh giá và cải tiến liên tục trong quá trình phản hồi để xử lý các vi phạm an ninh.

Các bậc thực hiện

Các cấp độ phản ánh cách một tổ chức thực hiện các chức năng cốt lõi và quản lý rủi ro của mình. bitwallet đặt mục tiêu đạt được cấp độ cao nhất với quy trình quản lý nâng cao.

1. Quy trình quản lý rủi ro

Tại bitwallet, các biện pháp quản lý rủi ro bảo mật được ban quản lý phê duyệt và thiết lập như một chính sách. Nhóm của chúng tôi sẽ coi các biện pháp an ninh là ưu tiên hàng đầu.

2. Chương trình quản lý rủi ro tích hợp

Bất kỳ và tất cả nhân viên bitwallet tham gia quản lý rủi ro đều liên quan đến thông tin an ninh mạng.

Hồ sơ khung

Hồ sơ giúp bitwallet thiết lập lộ trình giảm rủi ro an ninh mạng và mô tả trạng thái hiện tại của chúng tôi, trạng thái mục tiêu mong muốn và quy trình quản lý rủi ro.

bitwallet dựa trên Sắc lệnh hành pháp của Hoa Kỳ – “Khuôn khổ cải thiện an ninh mạng cơ sở hạ tầng quan trọng” và kết hợp các biện pháp thực hành tốt nhất trong ngành từ góc độ quốc tế.

---

Điều khoản bổ sung

Phí hiển thị sẽ bắt đầu từ ngày 1 tháng 7 năm 2018.

Ôn tập

Bản gửi ảnh tự sướng 2.5 Kiểm tra hoạt động (1) đã được sửa đổi vào ngày 1 tháng 8 năm 2018.
1. Danh tính đã được sửa đổi vào ngày 21 tháng 1 năm 2022.