Безопасность — базовый принцип RDVCC Virtual Card, а не маркетинговый лозунг
Мы не срезаем углы в работе с личными данными, номерами карт и денежными книгами пользователей. Ниже — конкретные текущие практики, а не расплывчатые обещания.
Шифрование
- ✓Чувствительные поля (номер карты / CVV): пополевое шифрование AES-256-GCM
- ✓Пароли: однонаправленный bcrypt-хеш в 12 раундов, необратимо
- ✓Транспорт: принудительный TLS 1.2+, HSTS preload
- ✓Ключи хранятся отдельно + версионируются (key_version), поддерживается ротация
Аутентификация и сессии
- ✓Двухуровневые JWT-сессии: sid в базе данных + JWT payload
- ✓Смена пароля / закрытие аккаунта → немедленный отзыв всех сессий
- ✓Отдельная admin-cookie: sameSite=strict, TTL 8 часов
- ✓TOTP 2FA в планах (пользовательская и админская стороны)
Сохранность средств
- ✓Стандартная двойная запись: активы + расходы = обязательства + капитал + доходы
- ✓Триггер PostgreSQL BEFORE INSERT принудительно балансирует дебет и кредит
- ✓Триггер user_balance запрещает отрицательные значения (защита от лишних списаний)
- ✓Сверка в реальном времени в админ-панели, автоматические оповещения о расхождениях средств
- ✓Ежедневная автоматическая сверка суб-аккаунтов + лимитов карт + целостности ledger
- ✓Баланс аккаунта в любой момент возвращается в USDT по запросу; сетевые комиссии за счёт платформы
Границы комплаенса
- ✓Вышестоящие лицензированные эмитенты
- ✓Заполнение данных держателя карты до выпуска (требование комплаенса)
- ✓Строгий запрет обналичивания / запрещённых отраслей / серого бизнеса / отмывания денег (нарушение — немедленная заморозка)
- ✓Адреса пополнения из чёрных списков блокируются немедленно
- ✓Сотрудничаем с законными запросами правоохранительных органов
Аудит
- ✓Неизменяемый журнал аудита всех действий админов (обязательное поле reason)
- ✓Чувствительные действия пользователей (смена пароля, отправка KYC, закрытие карты) пишутся в user_activity_log
- ✓Полное логирование вызовов API вышестоящих провайдеров (таблица api_logs)
- ✓Журналы аудита хранятся 18 месяцев, KYC — 5+ лет, транзакции — 7 лет
Инфраструктура
- ✓Серверы CN2 в Гонконге (ускоренный доступ из материкового Китая)
- ✓Cloudflare DNS + Bot Management
- ✓Файрвол ufw: открыты только SSH 47131 / 80 / 443
- ✓SSH только по ключу + fail2ban
- ✓Автоматические обновления безопасности; критические сервисы перезапускает PM2
5 вещей, которые может сделать пользователь
Платформа закрывает 80%; сделайте эти 5 вещей — и с аккаунтом почти наверняка всё будет в порядке.
- Пароль от 8 символов: буквы, цифры и знаки; не повторяйте пароли с других сайтов;
- Используйте основной e-mail (не одноразовый) — на него приходят коды 3DS;
- Включите 2FA (после запуска);
- Разделяйте карты по назначению: отдельные карты для рекламных аккаунтов / подписок / зарубежных покупок — меньше риска одной точки;
- Поддержка никогда не спросит пароль / OTP / номер карты — кто спрашивает, тот мошенник.
Сообщить о проблеме безопасности
Нашли уязвимость, проблему приватности или комплаенс-риск в RDVCC Virtual Card — сообщите через [email protected]. Мы обещаем:
- Первый ответ в течение 24 часов, план работ в течение 48 часов;
- Публичный список благодарностей после исправления (по желанию);
- Не преследуем за ответственное раскрытие (не касается злонамеренных атак);
- Дополнительная благодарность за критические уязвимости (сумма обсуждается по серьёзности).
Связанные документы:Политика конфиденциальности ·Политика AML ·Политика KYC
Хранение данных и стратегия резервных копий
Хранение данных RDVCC построено на трёхуровневой архитектуре "основная — реплика — резервная копия", балансирующей доступность, отказоустойчивость и комплаенс:
- Основная база: PostgreSQL 16, узел CN2 в Гонконге. Выдерживает 100+ tps на запись, пополевое шифрование AES-256-GCM.
- Реплики для чтения: по одной на том же узле и на удалённом. Для отчётов и сверки, снижают нагрузку на основную базу.
- Шифрованные резервные копии: ежедневный автоматический бэкап в облачное хранилище, удалённое хранение 90 дней + месячные архивы 5 лет. Файлы бэкапов шифруются отдельно (ключи независимы от основной базы) — даже взлом облачного хранилища не позволит их расшифровать.
- RTO / RPO: целевой RTO ≤ 4 часа (восстановление после аварии), RPO ≤ 15 минут (максимум потери данных). Полные учения по аварийному восстановлению каждый квартал.
Лучшие практики пользователя для безопасности аккаунта
Безопасность платформы — лишь часть картины; практики на стороне пользователя не менее важны. Настоятельно рекомендуем:
- ① Включите 2FA (двухэтапную проверку). Настройки аккаунта → Безопасность → включите TOTP (Google Authenticator / Authy). После включения даже с утёкшим паролем злоумышленник не сможет войти.
- ② Сильный пароль + без повторов. Пароль RDVCC не должен совпадать с паролями на других платформах. Используйте менеджер паролей (1Password / Bitwarden) для генерации случайных паролей от 16 символов.
- ③ Отдельный лимит на каждую карту. Задавайте дневной / месячный лимит в 1.2 раза от фактического бюджета. Даже при утечке номера карты потери ограничены.
- ④ Регулярно проверяйте операции. Раз в неделю просматривайте операции в аккаунте; при аномалии немедленно заморозьте карту и напишите в поддержку.
- ⑤ Остерегайтесь фишинга. RDVCC никогда не запрашивает пароль / SMS-код по почте / SMS. Единственный вход — rdvcc.com; проверяйте URL и сертификат HTTPS.
Начните глобальные расходы на комплаентной и безопасной основе
Выпуск карты за 1 USDT · пополевое шифрование · 7 лет хранения аудита