Рекомендации безопасности от BestChange

iEXExchanger соответствует всем требованиям, менеджерам обменных пунктом следует включить и настроить пункты.

Безопасность доступа

  1. 2FA входа в панель управления сайтом [обязательное];

  2. дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;

  3. доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;

  4. разграничение прав доступа для разных сотрудников;

  5. запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;

  6. оповещение о факте входа в панель администратора;

  7. оповещение о ключевых действиях оператора, администратора;

  8. отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;

  9. запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;

  10. принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.

  11. на устройствах, с которых осуществляется работа установлены платные популярные антивирусные программы (Eset, Kaspersky, DrWeb) с оперативно обновляемыми базами и модулями.

  12. Защита от DDoS [обязательное].

Безопасность рабочего процесса

  1. осуществление передачи реквизитов только через сайт обменного пункта;

  2. в состав обязательных реквизитов входит актуальный E-mail клиента;

  3. замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;

  4. На сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;

  5. ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;

  6. прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);

  7. приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;

  8. при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;

  9. при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях [обязательное];

  10. организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

Проверка персонала

  1. подписание соглашений, устанавливающих уровень ответственности сотрудников;

  2. проведение тестов с применением полиграфа на регулярной основе.

Аудит безопасности (Встреча с администратором BestChange)

  • статус и размер организации;

  • основные принципы и политики работы обменного пункта в части касающейся работы с клиентами;

  • основные принципы и политики работы обменного пункта в части касающейся безопасности;

  • уровень организации безопасности вашего обменного пункта;

  • методы работы со зловредным трафиком;

  • способы и эффективность взаимодействия с пользователями, общий уровень сервиса;

  • популярность отдельных направлений и перспективы добавления новых направлений;

  • способы привлечения трафика.

Last updated