把安全放在第一位
Matrixport 端对端的安全设计、全球分布式的基础设施和以业务为重点的安全创新能力,确保了用户资产的安全性和可靠性
您的资产,我们保障
独立研发的业界领先托管方案 Cactus Custody™
始终离线
冷、热存储私钥均产生且存储于硬件安全模块(HSM)
FIPS 140-2 Level3及以上级别HSM
私钥明文对任何人永不可见
全球多地
分布于三大洲的多签方案
位于政治稳定的多个国家
高严标准
部署于机构级金库级数据中心
严格遵循ISO27001和S-SDLC
不同数据中心设备异构
关键安全措施
强制二次验证
所有账户登录时需要二次验证
还需要使用Ukey/短信验证码/Google验证器
所有关键操作都需要进行二次验证
高级别的加密措施
网站全服务采用https
采用高标准的安全加密算法来存储敏感信息
细粒度的验证鉴权机制
产品进行了细粒度的权限设计,验证和鉴权安全措施完备 各接口访问验证措施严格,不同角色,不同用户之间严格隔离
采用高标准的安全加密算法来存储敏感信息
转账白名单机制
用户可预先设置可信任的接收地址(白名单),只有这些地址才能接收转账,防止资金被转到未经授权的陌生地址。有效减少因误操作或被黑客诱导将资金转到恶意地址的可能性。
多维安全机制保障
管理
「安全第一」是我们公司文化的一部分,这个理念已深入公司活动的方方面面,从招聘期时对人员的背景调查、新员工的培训到针对不同职位定制的安全要求,都始终贯彻执行
公司全体员工需遵守安全红线,并制定了相应的奖惩制度
在安全性方面,我们都是经验丰富的专业人士
技术
采用和部署了大量业界领先的安全产品和工具
制定了详细的安全设计、编码、测试和运维规范
安全最佳实践的规则多达100余条
流程
全面落地S-SDLC安全开发流程, 保障安全要素融入产品开发过程,安全成为产品基本质量属性
参考IPDRR架构,实时监控产品和服务的安全状态,及时做出响应
定期展开渗透测试活动
共同保障Matrixport网络安全
如果您在我们的产品中发现漏洞,或者使用我们网站的虚假版本后成为网络钓鱼攻击的目标,请立即通知 Matrixport 安全响应中心,您可以发送电子邮件至[email protected]感谢为保护我们用户资产做出的贡献!
致谢名单
John Semos
积极给Matrixport提供安全建议
Faisal Mehmood
报告了Matrixport网站的Clickjacking安全漏洞
Lemon
拥有优秀的绘画技能,给Matrixport员工安全教育活动提供了很多素材
Abhishek Karle
报告了会话管理和DMARC RECORD配置的问题
Hassy
积极给Matrixport提供安全建议
Talha Saeed Bin Zafar Iqbal
未关闭 TLS 1.0
Indra Juliana
JS 文件暴露信息,API 接口泄露信息
Thinking
报告了会话管理和DMARC RECORD配置的问题
Karl Smith
GA 绑定接口调用问题
John Semos
积极给Matrixport提供安全建议
Danyal Zafar
测试环境服务暴露
Aman
博客配置文件错误
Indra Juliana
报告了一个Spring的配置问题
Atestpk
报告了一个DOM-based XSS漏洞
Pratik
旧服务存在 Log4j2 配置问题
期待您更多的报告和反馈…