Безопасность и управление рисками
EvoPay сочетает регулируемую финансовую деятельность с платформой VirtuOZ, спроектированной под требования к устойчивости, прозрачности и подотчётности. Ниже — обзор подхода, согласованный с ожиданиями к лицензируемым финансовым институтам: управление, процессы и технологии рассматриваются вместе.
Принципы
- Многоуровневая защита: на идентичность, сессии, прикладную логику и операции опираются разные, взаимодополняющие меры.
- Минимально необходимый доступ: права на чувствительные действия и данные выдаются по необходимости и в рамках роли.
- Прозрачность: юридически значимые обязательства изложены в Условиях, Политике конфиденциальности и разделе Комплаенс.
Регуляторика и управление
Деятельность EvoPay LLP осуществляется в соответствии с законодательством Республики Казахстан и надзором, предусмотренным лицензией. Поддерживается программа ПОД/ФТ (в т.ч. идентификация клиентов, мониторинг и эскалации при необычных операциях) в масштабе, соответствующем продуктам и профилю рисков.
Платформа VirtuOZ: технические меры
В продуктовом слое реализованы меры, распространённые в отрасли для финансовых веб-приложений:
- Пароли: хранятся только в виде криптостойкого хэша Argon2, открытый текст не используется.
- Двухфакторная аутентификация: опционально TOTP (приложение-аутентификатор) в /dashboard/security; материалы MFA защищены при хранении в базе данных с использованием шифрования.
- Сессии: для браузера применяются атрибуты cookie (HttpOnly, SameSite, при HTTPS — Secure); токены доступа выпускаются с метаданными «родословной» для контролируемой ротации.
- Защита от CSRF: для изменяющих состояние запросов используются анти-CSRF токены.
- Разделение ролей: клиентские и административные сценарии разведены; привилегированные операции требуют соответствующей аутентификации.
Защита средств и целостность операций
| Направление | Содержание мер |
|---|---|
| Сегрегация | Клиентские остатки учитываются отдельно от операционных средств в рамках банковских/партнёрских схем, согласованных с регуляторной моделью. |
| Эскроу | Средства по сделкам проходят определённые состояния в системе; выплата привязана к договору и согласованным этапам, а не к произвольным переводам. |
| Фиат | Отдельные операции пополнения и вывода могут проходить ручную проверку и комплаенс-контроль до финального отражения на балансе. |
| Мониторинг и политики | Мониторинг транзакций и политики по валютам/санкциям поддерживают единообразное применение правил по поддерживаемым каналам. |
| Дисциплина выплат | Движение средств согласуется с настройками безопасности учётной записи и сильной аутентификацией. |
Данные и конфиденциальность
| Слой | Реализация |
|---|---|
| Канал | TLS для трафика между браузером и сервисами в продуктовой конфигурации. |
| Хранение | Чувствительные ключи и учётные материалы защищаются шифрованием и границами доступа; массивы данных обрабатываются с минимизацией и сроками хранения по внутренним политикам. |
| Доступ и эксплуатация | MFA для повышенного риска внутренних ролей; действия в административных контурах проектируются с возможностью расследования и аудита. |
| Privacy by design | Сбор данных — в объёме, необходимом для онбординга, расчётов и комплаенса; учёт требований ЗРК о персональных данных. |
KYC и противодействие финансовым преступлениям
- Поэтапная верификация: документы удостоверения личности и при необходимости проверки в формате liveness для снижения риска подмены.
- Скрининг: проверки по спискам и санкционным политикам в онбординге и при мониторинге.
- Ручной разбор: комплаенс-аналитики подключаются к пограничным и повышенным рискам, когда автоматики недостаточно.
Люди, поставщики, устойчивость
- Внутренний доступ регулируется политиками; обучение по ИБ и конфиденциальности — часть операционной дисциплины.
- Критичные поставщики отбираются и контролируются с должной осмотрительностью.
- Поддерживаются планы непрерывности и реагирования на инциденты; периодически проводятся технические оценки. В качестве ориентира по зрелости контролей используются распространённые рамки (в т.ч. критерии в духе SOC 2) — без замены регуляторных обязанностей.
Ваша роль
- Включите 2FA в /dashboard/security и надёжно храните резервные коды.
- Используйте уникальный надёжный пароль для EvoPay; не повторяйте пароли с других сайтов.
- Будьте внимательны к фишингу: мы не запрашиваем пароль и одноразовые коды по e-mail, телефону или в мессенджерах.
- Поддерживайте актуальные контакты и периодически просматривайте операции по счёту.
Комплаенс, оценки и раскрытие инцидентов
Лицензируемая модель подразумевает взаимодействие с уполномоченными органами РК и выполнение требований по оценке рисков. При инциденте, затрагивающем персональные данные, оценка и уведомление субъектов данных выполняются в сроки и форме, предусмотренных законом и внутренними процедурами.
Институциональная дисциплина — в основе продукта и процессов.