Политика безопасности

1. Введение

MagicTradeBot («мы», «наш» или «нас») ставит безопасность данных пользователей и систем в приоритет. Эта Политика безопасности описывает меры, которые мы применяем для защиты вашей информации, обеспечения целостности платформы и реагирования на инциденты безопасности. Пользуясь нашими услугами, вы соглашаетесь с этими практиками.

2. Меры защиты данных

Шифрование

При передаче: все данные передаются между вашим устройством и нашими серверами по защищённому протоколу TLS 1.2 и выше.
При хранении: конфиденциальная информация (API‑ключи, платёжные данные) хранится в зашифрованном виде по стандарту AES‑256.
Пароли: хранятся в виде хэшей с солью с использованием bcrypt или аналогичных алгоритмов.

Безопасность инфраструктуры

Облачный хостинг: AWS, Google Cloud, Microsoft Azure с корпоративными межсетевыми экранами, IDS и защитой от DDoS.
Сегментация сети: критические системы (базы данных, платёжные процессы) изолированы от общедоступных серверов.
Регулярные обновления: автоматическое исправление известных уязвимостей.

3. Управление уязвимостями

Пентестирование

Внутренние сканирования: еженедельное сканирование на уязвимости с использованием Nessus и Qualys.

Безопасность кода

Безопасная разработка: статический и динамический анализ (SAST/DAST), а также проверка коллег перед развертыванием.
Проверка зависимостей: автоматические проверки (Snyk, Dependabot) на наличие уязвимостей в сторонних библиотеках.

4. План реагирования на инциденты

Обнаружение и уведомление

Круглосуточный мониторинг: SIEM-системы отслеживают подозрительные события (несанкционированные входы, утечки данных и др.).
Сообщения от пользователей: отправляйте письма на sales@magictradebot.com с темой «SECURITY INCIDENT».

Процесс реагирования

Изоляция: отдаем приоритет изоляции затронутых систем для предотвращения распространения.
Расследование: определяем причину, область и последствия.
Уведомление: при риске для прав пользователей по GDPR/CCPA уведомляем их в течение 72 часов.
Устранение: устраняем уязвимости, сбрасываем скомпрометированные данные и восстанавливаем резервные копии.
Разбор: документируем уроки и обновляем процедуры безопасности.

5. Управление рисками третьих сторон

Оценка поставщиков: используем только поставщиков, соответствующих стандартам ISO 27001, SOC 2 и др.
Защита API: интеграция с биржами через OAuth 2.0 или HMAC-подписи.
Обмен данными: сторонние сервисы обязаны по контракту защищать ваши данные и не могут использовать их без разрешения.

6. Ответственность пользователя

Безопасность аккаунта: используйте надёжные уникальные пароли и включайте MFA, если возможно.
Защита API-ключей: мы не запрашиваем ваши ключи; при самохостинге их безопасность полностью на вас.
Осторожность с фишингом: подозрительные сообщения от имени MagicTradeBot отправляйте на sales@magictradebot.com.

7. Аудиты и соответствие стандартам

Годовые аудиты: независимые проверки на соответствие GDPR, CCPA и другим требованиям.
Юридические требования: сотрудничаем с регуляторами в соответствии с требованиями закона.

8. Срок хранения и удаление данных

Срок хранения: храним данные лишь в течение необходимого времени для предоставления услуг и соблюдения правил.
Безопасное удаление: при запросе или закрытии аккаунта стираем данные согласно стандарту NIST 800‑88.

9. Обновление политики

Политика пересматривается ежеквартально и обновляется в связи с новыми угрозами. Существенные изменения будут анонсированы по электронной почте или внутри приложения.

10. Контакты

По вопросам безопасности или инцидентам обращайтесь:
sales@magictradebot.com