Советы по безопасности от BestChange

iEXExchanger соответствует всем требованиям, менеджерам обменных пунктом следует включить и настроить пункты.

Безопасность доступа

2FA входа в панель управления сайтом [обязательное];
дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;
доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;
разграничение прав доступа для разных сотрудников;
запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;
оповещение о факте входа в панель администратора;
оповещение о ключевых действиях оператора, администратора;
отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;
запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;
принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.
на устройствах, с которых осуществляется работа установлены платные популярные антивирусные программы (Eset, Kaspersky, DrWeb) с оперативно обновляемыми базами и модулями.
Защита от DDoS [обязательное].

Безопасность рабочего процесса

осуществление передачи реквизитов только через сайт обменного пункта;
в состав обязательных реквизитов входит актуальный E-mail клиента;
замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;
На сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;
ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;
прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);
приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;
при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;
при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях [обязательное];
организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

Проверка персонала

подписание соглашений, устанавливающих уровень ответственности сотрудников;
проведение тестов с применением полиграфа на регулярной основе.

Аудит безопасности (Встреча с администратором BestChange)

статус и размер организации;
основные принципы и политики работы обменного пункта в части касающейся работы с клиентами;
основные принципы и политики работы обменного пункта в части касающейся безопасности;
уровень организации безопасности вашего обменного пункта;
методы работы со зловредным трафиком;
способы и эффективность взаимодействия с пользователями, общий уровень сервиса;
популярность отдельных направлений и перспективы добавления новых направлений;
способы привлечения трафика.

PreviousНастройка защиты Fail2ban NextКонфигурация брандмауэра UFW

Was this helpful?

Безопасность доступа

2FA входа в панель управления сайтом [обязательное];

дополнительная защита для доступа к файлам сайта ОП помимо пароля, например, 2FA, доступ из офисной VPN;

доступ к панели администратора сайта только с определенных IP-адресов/браузеров/устройств;

разграничение прав доступа для разных сотрудников;

запрет или отсутствие прямого доступа к счетам и/или кошелькам, содержащим резерв ОП из панели администратора;

оповещение о факте входа в панель администратора;

оповещение о ключевых действиях оператора, администратора;

отслеживание активность в корневой папке сайта с оповещением о загрузке или изменении файлов;

запись истории ключевых действий оператора, администратора, активности в корневой папке сайта, загрузки или изменении файлов;

принимаемые от пользователей файлы загружаются и просматриваются на устройствах, не связанных с рабочими процессами обменного пункта, при необходимости принять какие-либо файлы, кроме растровых это происходит при помощи соответствующего хостинга.

на устройствах, с которых осуществляется работа установлены платные популярные антивирусные программы (Eset, Kaspersky, DrWeb) с оперативно обновляемыми базами и модулями.

Защита от DDoS [обязательное].

Безопасность рабочего процесса

осуществление передачи реквизитов только через сайт обменного пункта;

в состав обязательных реквизитов входит актуальный E-mail клиента;

замена реквизитов по просьбе клиента осуществляться только по средствам указанного клиентом в заявке E-mail (с обязательной проверкой заголовка письма на подлинность адреса отправителя) или создания новой заявки;

На сайте ОП отсутствуют названия аккаунтов мессенджеров, вместо этого присутствуют кликабельные кнопки;

ссылки на обменные боты отсутствуют или скрыты для пользователей, переходящих из мониторинга;

прием криптовалют осуществляется на уникальные адреса (по крайней мере в рамках одной рабочей смены);

приема средств через банкинг производится после верификации счета или реквизиты для приема средств через банкинг содержат телефон, привязанный к банковской карте, с которой клиент осуществляет перевод, перед исполнением заявки производится проверка принадлежности номера к банковской карте и запрашивается подтверждение операции по номеру;

при отсутствии круглосуточной поддержки блокировать прием в мониторинг экспортного файла курсов из панели управления обменным пунктом в мониторинге в не рабочее время;

при работе с криптовалютами исключить вероятность нахождения нежелательной предыстории в отправляемых клиентам транзакциях [обязательное];

организовать AML-проверки транзакций и разместить соответствующую информацию на сайте обменного пункта на страницах обмена, передавать в мониторинг соответствующие метки, а также дополнить правила использования сайта обменного пункта.

Аудит безопасности (Встреча с администратором BestChange)

статус и размер организации;

основные принципы и политики работы обменного пункта в части касающейся работы с клиентами;

основные принципы и политики работы обменного пункта в части касающейся безопасности;

уровень организации безопасности вашего обменного пункта;

методы работы со зловредным трафиком;

способы и эффективность взаимодействия с пользователями, общий уровень сервиса;

популярность отдельных направлений и перспективы добавления новых направлений;

способы привлечения трафика.