RD Virtual Card
RD Virtual Card

Безопасность — базовый принцип RDVCC Virtual Card, а не маркетинговый лозунг

Мы не срезаем углы в работе с личными данными, номерами карт и денежными книгами пользователей. Ниже — конкретные текущие практики, а не расплывчатые обещания.

Шифрование

  • Чувствительные поля (номер карты / CVV): пополевое шифрование AES-256-GCM
  • Пароли: однонаправленный bcrypt-хеш в 12 раундов, необратимо
  • Транспорт: принудительный TLS 1.2+, HSTS preload
  • Ключи хранятся отдельно + версионируются (key_version), поддерживается ротация

Аутентификация и сессии

  • Двухуровневые JWT-сессии: sid в базе данных + JWT payload
  • Смена пароля / закрытие аккаунта → немедленный отзыв всех сессий
  • Отдельная admin-cookie: sameSite=strict, TTL 8 часов
  • TOTP 2FA в планах (пользовательская и админская стороны)

Сохранность средств

  • Стандартная двойная запись: активы + расходы = обязательства + капитал + доходы
  • Триггер PostgreSQL BEFORE INSERT принудительно балансирует дебет и кредит
  • Триггер user_balance запрещает отрицательные значения (защита от лишних списаний)
  • Сверка в реальном времени в админ-панели, автоматические оповещения о расхождениях средств
  • Ежедневная автоматическая сверка суб-аккаунтов + лимитов карт + целостности ledger
  • Баланс аккаунта в любой момент возвращается в USDT по запросу; сетевые комиссии за счёт платформы

Границы комплаенса

  • Вышестоящие лицензированные эмитенты
  • Заполнение данных держателя карты до выпуска (требование комплаенса)
  • Строгий запрет обналичивания / запрещённых отраслей / серого бизнеса / отмывания денег (нарушение — немедленная заморозка)
  • Адреса пополнения из чёрных списков блокируются немедленно
  • Сотрудничаем с законными запросами правоохранительных органов

Аудит

  • Неизменяемый журнал аудита всех действий админов (обязательное поле reason)
  • Чувствительные действия пользователей (смена пароля, отправка KYC, закрытие карты) пишутся в user_activity_log
  • Полное логирование вызовов API вышестоящих провайдеров (таблица api_logs)
  • Журналы аудита хранятся 18 месяцев, KYC — 5+ лет, транзакции — 7 лет

Инфраструктура

  • Серверы CN2 в Гонконге (ускоренный доступ из материкового Китая)
  • Cloudflare DNS + Bot Management
  • Файрвол ufw: открыты только SSH 47131 / 80 / 443
  • SSH только по ключу + fail2ban
  • Автоматические обновления безопасности; критические сервисы перезапускает PM2

5 вещей, которые может сделать пользователь

Платформа закрывает 80%; сделайте эти 5 вещей — и с аккаунтом почти наверняка всё будет в порядке.

  1. Пароль от 8 символов: буквы, цифры и знаки; не повторяйте пароли с других сайтов;
  2. Используйте основной e-mail (не одноразовый) — на него приходят коды 3DS;
  3. Включите 2FA (после запуска);
  4. Разделяйте карты по назначению: отдельные карты для рекламных аккаунтов / подписок / зарубежных покупок — меньше риска одной точки;
  5. Поддержка никогда не спросит пароль / OTP / номер карты — кто спрашивает, тот мошенник.

Сообщить о проблеме безопасности

Нашли уязвимость, проблему приватности или комплаенс-риск в RDVCC Virtual Card — сообщите через [email protected]. Мы обещаем:

  • Первый ответ в течение 24 часов, план работ в течение 48 часов;
  • Публичный список благодарностей после исправления (по желанию);
  • Не преследуем за ответственное раскрытие (не касается злонамеренных атак);
  • Дополнительная благодарность за критические уязвимости (сумма обсуждается по серьёзности).

Связанные документы:Политика конфиденциальности ·Политика AML ·Политика KYC

Хранение данных и стратегия резервных копий

Хранение данных RDVCC построено на трёхуровневой архитектуре "основная — реплика — резервная копия", балансирующей доступность, отказоустойчивость и комплаенс:

  • Основная база: PostgreSQL 16, узел CN2 в Гонконге. Выдерживает 100+ tps на запись, пополевое шифрование AES-256-GCM.
  • Реплики для чтения: по одной на том же узле и на удалённом. Для отчётов и сверки, снижают нагрузку на основную базу.
  • Шифрованные резервные копии: ежедневный автоматический бэкап в облачное хранилище, удалённое хранение 90 дней + месячные архивы 5 лет. Файлы бэкапов шифруются отдельно (ключи независимы от основной базы) — даже взлом облачного хранилища не позволит их расшифровать.
  • RTO / RPO: целевой RTO ≤ 4 часа (восстановление после аварии), RPO ≤ 15 минут (максимум потери данных). Полные учения по аварийному восстановлению каждый квартал.

Лучшие практики пользователя для безопасности аккаунта

Безопасность платформы — лишь часть картины; практики на стороне пользователя не менее важны. Настоятельно рекомендуем:

  • ① Включите 2FA (двухэтапную проверку). Настройки аккаунта → Безопасность → включите TOTP (Google Authenticator / Authy). После включения даже с утёкшим паролем злоумышленник не сможет войти.
  • ② Сильный пароль + без повторов. Пароль RDVCC не должен совпадать с паролями на других платформах. Используйте менеджер паролей (1Password / Bitwarden) для генерации случайных паролей от 16 символов.
  • ③ Отдельный лимит на каждую карту. Задавайте дневной / месячный лимит в 1.2 раза от фактического бюджета. Даже при утечке номера карты потери ограничены.
  • ④ Регулярно проверяйте операции. Раз в неделю просматривайте операции в аккаунте; при аномалии немедленно заморозьте карту и напишите в поддержку.
  • ⑤ Остерегайтесь фишинга. RDVCC никогда не запрашивает пароль / SMS-код по почте / SMS. Единственный вход — rdvcc.com; проверяйте URL и сертификат HTTPS.

Начните глобальные расходы на комплаентной и безопасной основе

Выпуск карты за 1 USDT · пополевое шифрование · 7 лет хранения аудита