Wallet Factory Безопасность
Безопасность
В основе стратегии безопасности используются основные международные стандарты, определяющие требования к системам управления информационной безопасностью и управления рисками. Решения используют только безопасные каналы обмена информацией (использование сертификатов SSL), поэтому передача данных предварительно шифруется.
Для доступа и авторизации операций используем OTP (One time password) - SMS одноразовые пароли.
Применяем стандартные современные практики по защите от основных уязвимостей, в том числе по рекомендациям OWASP:
- SQL Injections
- XSS (Cross Site Scripting) XXE (XML External Entities)
- Insecure Direct Object References
- Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards
- Fault toleran
Комплекс мер по соблюдению информационной безопасности обеспечивает:
| Защиту информации от различного рода вирусных и хакерских угроз; | |
| Сохранность данных при физической утрате и поломках информационных носителей; | |
| Безопасность доступа к хранимым ресурсам; | |
| Шлюз с фаерволом, фильтрующий входящий трафик; | |
| Кратковременные сессии с уникальным токеном обеспечивают защиту сессии от ее копирования; | |
| Избегание использования популярных библиотек при разработке, обеспечивает невозможность использования известных уязвимостей компонентов системы; | |
| Регулярные обновления помогают защититься от вновь выявленных уязвимостей; |
| Восстановление информационной системы в случае повреждений; | |
| Все операции происходят исключительно по защищенным каналам связи с использованием сертификатов SSL, а также с дополнительным предварительным шифрованием передаваемых данных; | |
| Возможность использования двухфакторной авторизации; | |
| При выводе средств или изменением каких-либо настроек используется дополнительный OTP, который отправляется также на номер телефона; | |
| Для дополнительной надежности обрабатываемых транзакций мы используем систему мониторинга всех платежей в автоматическом и ручном режиме; |
Дополнительные функции, позволяющие повысить
уровень безопасности:
- управление электронным кошельком с фиксированного
IP-адреса
- мгновенное уведомление о совершенной операции по
SMS, е-mail и т.д.
Основными объектами для управления в подсистеме безопасности Системы являются:
| Логины пользователей - учетные записи пользователей ОС, которым разрешено работать с Системой; | |
| Контроль регистрации пользователей. Включают в себя привязку логинов пользователей к учетным записям пользователей Системы и к точкам доступа в систему; | |
| Учетные записи пользователей Системы. Ведение контроля уникальности пользователя по его заявленному идентификатору (email, телефон); | |
| SUPER ADMIN доступ. Применяется разработчиком для аварийного управления правами Администраторов и пользователей Системы; |
| Группы пользователей. Применяются в основном для изменения схемы видимости объектов; | |
| Ключи. Применяются для работы с секретными ключами; | |
| Хранение персональных данных, платежной информации, платежных инструментов клиента в системе выполнено на основе распределенной базы данных; | |
| Данные о каждом задействованном в системе платежном инструменте токенизированы и зашифрованы; |
