Қауіпсіздік және тәуекелді басқару
EvoPay реттелетін қаржы қызметін VirtuOZ платформасымен үйлестіреді — тұрақтылық, ашықтық және есеп беру талаптарына бағытталған. Төменде лицензияланатын қаржы институттарына тән күтумен үйлесетін шолу: басқару, процестер және технология біртұтас қарастырылады.
Қағидаттар
- Көп қабатты қорғау: сәйкестендіру, сессиялар, қолданба логикасы және операциялар әртүрлі, бір-бірін толықтыратын шараларға сүйенеді.
- Ең аз привилегия: сезімтал әрекеттер мен деректерге рұқсат рөл шеңберінде және қажеттілік бойынша беріледі.
- Ашықтық: құқықтық міндеттемелер Шарттарда, Құпиялылық саясатында және Комплаенс бөлімінде баяндалған.
Реттеу және басқару
EvoPay LLP қызметі Қазақстан Республикасының заңнамасына және лицензияға сәйкес бақылауға сәйкес жүргізіледі. AML/CFT бағдарламасы (сәйкестендіру, мониторинг және әдеттен тыс операциялар бойынша эскалация) өнімдер мен тәуекел профиліне лайық көлемде қолдается.
VirtuOZ платформасы: техникалық шаралар
Өнім қабатында қаржы веб-қолданбалары үшін кең тараған шаралар іске асырылады:
- Құпия сөздер: тек Argon2 криптотұрақты хэші сақталады, ашық мәтін қолданылмайды.
- Екі факторлы аутентификация: міндетті емес TOTP (аутентификатор қолданбасы) — /dashboard/security; MFA материалдары дерекқорда сақтау кезінде шифрлау арқылы қорғалады.
- Сессиялар: cookie атрибуттары (HttpOnly, SameSite, HTTPS кезінде Secure); қол жеткізу токендері бақыланатын жаңарту үшін «тегі» метаданаларымен шығарылады.
- CSRF қорғауы: күйді өзгертетін сұрауларға қарсы CSRF токендері қолданылады.
- Рөлдерді бөлу: клиент және әкімші сценарийлері ажыратылған; артықшылықты операциялар тиісті аутентификацияны талап етеді.
Қаражат қорғау және операциялардың тұтастығы
| Бағыт | Мазмұны |
|---|---|
| Сегрегация | Клиент қалдықтары реттеу моделіне сәйкес банк/серіктес схемаларында операциялық қаражаттан бөлек есептеледі. |
| Эскроу | Сделка қаражаты жүйеде белгілі күйлерден өтеді; төлем шарт пен келісілген кезеңдерге байланысты, кездейсоқ аударуға емес. |
| Фиат | Кейбір толтыру және шығару қолмен тексеруден және комплаенстен өтіп, баланс түпкілікті бекітілгенше реттелуі мүмкін. |
| Мониторинг және саясаттар | Транзакция мониторингі және валюта/санкция саясаттары қолдау көрсетілетін арналар бойынша біркелкі ережелерді сақтауға көмектеседі. |
| Төлем дисциплинасы | Қаражат қозғалуы есептік жазбаның қауіпсіздік баптаулары мен күшті аутентификацияға сәйкес келеді. |
Деректерді қорғау және құпиялылық
| Қабат | Іске асыру |
|---|---|
| Арна | Браузер мен қызметтер арасындағы трафик үшін TLS (өндірістік конфигурация). |
| Сақтау | Сезімтал кілттер мен тіркеу материалдары шифрлау және қол жеткізу шекараларымен қорғалады; дерек жиынтары минимизация және сақтау мерзімі бойынша өңделеді. |
| Қол жеткізу | Ішкі жоғары тәуекел рөлдері үшін MFA; әкімші әрекеттері тергеу және аудит мүмкіндігін ескере отырып жобаланады. |
| Privacy by design | Жинау — онбординг, есептеу және комплаенс үшін қажетті көлемде; ҚР жеке деректері туралы талаптары ескеріледі. |
KYC және қаржы қылмысына қарсы іс-қимыл
- Кезеңді верификация: жеке куәлік құжаттары және қажет болғанда liveness тексерулері.
- Скрининг: тізімдер және санкциялық саясаттар онбордингте және мониторингте.
- Қолмен қарау: шекаралық және жоғары тәуекел жағдайларында комплаенс талдаушылары қосылады.
Адамдар, жеткізушілер, тұрақтылық
- Ішкі қол жеткізу саясаттармен реттеледі; ИБ және құпиялылық бойынша оқыту — операциялық тәртіп бөлігі.
- Маңызды жеткізушілер тиісті сақтықпен таңдалады және бақыланады.
- Үздіксіздік және инцидентке жауап беру жоспарлары қолдается; техникалық бағалаулар тұрақты жүргізіледі. Бақылаудың жетілуі үшін кең тараған жүйелер (соның ішінде SOC 2 сияқты критерийлер) ориентир ретінде қолданылады — реттеуші міндеттемелердің орнына емес.
Сіздің рөліңіз
- 2FA қосыңыз: /dashboard/security; резервтік кодтарды сенімді сақтаңыз.
- EvoPay үшін бірегей күшті құпия сөз қолданыңыз; басқа сайттардағы парольдерді қайталамаңыз.
- Фишингке назар аударыңыз: біз e-mail, телефон немесе чат арқылы құпия сөз бен бір реттік кодтарды сұрамаймыз.
- Байланыс деректерін жаңартып, операциялар тарихын тұрақты қараңыз.
Комплаенс, бағалау және инциденттерді ашу
Лицензияланатын модель уәкілетті органдармен өзара әрекеттесуді және тәуекелдерді бағалау талаптарын қамтиды. Жеке деректерге әсер еткен инцидентте бағалау және субъектілерді хабарлау қолданыстағы заң және ішкі тәртіпке сәйкес жүргізіледі.
Институционалдық тәртіп — өнім мен процестердің негізінде.