# Советы по безопасности от BestChange

{% hint style="success" %}
i<mark style="color:green;">EXExchanger соответствует всем требованиям, менеджерам обменных пунктом следует включить и настроить пункты.</mark>
{% endhint %}

## Безопасность доступа

1. 2FA входа в панель управления сайтом **\[обязательное]**;
2. дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;
3. доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;
4. разграничение прав доступа для разных сотрудников;
5. запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;
6. оповещение о факте входа в панель администратора;
7. оповещение о ключевых действиях оператора, администратора;
8. отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;
9. запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;
10. принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.
11. на устройствах, с которых осуществляется работа установлены платные популярные антивирусные программы (Eset, Kaspersky, DrWeb) с оперативно обновляемыми базами и модулями.
12. Защита от DDoS **\[обязательное].**

## Безопасность рабочего процесса

1. осуществление передачи реквизитов только через сайт обменного пункта;
2. в состав обязательных реквизитов входит актуальный E-mail клиента;
3. замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;
4. На сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;
5. ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;
6. прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);
7. приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;
8. при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;
9. при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях **\[обязательное]**;
10. организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

## Проверка персонала

1. подписание соглашений, устанавливающих уровень ответственности сотрудников;
2. проведение тестов с применением полиграфа на регулярной основе.

## Аудит безопасности (Встреча с администратором BestChange)

* статус и размер организации;
* основные принципы и политики работы обменного пункта в части касающейся работы с клиентами;
* основные принципы и политики работы обменного пункта в части касающейся безопасности;
* уровень организации безопасности вашего обменного пункта;
* методы работы со зловредным трафиком;
* способы и эффективность взаимодействия с пользователями, общий уровень сервиса;
* популярность отдельных направлений и перспективы добавления новых направлений;
* способы привлечения трафика.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.iexexchanger.com/obshaya-informaciya/centr-bezopasnosti/sovety-po-bezopasnosti-ot-bestchange.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.