Areg MoneyAreg Money

Безопасность

Последнее обновление: 6 мая 2026

Деньги — это серьёзно. Безопасность для нас — не дополнение, а основная фича продукта. Эта страница объясняет, как мы защищаем ваши средства, данные и личность.

1. Модель кастоди

Мы никогда не храним ваши средства напрямую. Вся кастоди управляется Lightspark Grid — лицензированной организацией с EU EMI и VASP лицензиями, аудируемыми резервами и сегрегированными клиентскими счетами. Мы — application layer; Lightspark — финансовая инфраструктура.

Это значит: даже если Areg Money прекратит работу, ваши средства остаются у Lightspark и доступны напрямую через их регулируемые процессы.

2. Шифрование

  • В транспорте: TLS 1.3 с HSTS preload на всех эндпоинтах. Домен настроен с Strict-Transport-Security max-age 2 года.
  • В хранении: База данных шифруется Supabase (AES-256). KYC-документы шифруются Sumsub с customer-managed keys.
  • Секреты: Хранятся в зашифрованных env-переменных Vercel; никогда не коммитятся в репозиторий.

3. Аутентификация

  • Сессии управляются Clerk (SOC 2 Type II сертификация).
  • Хэширование паролей через Argon2id с уникальной солью.
  • Двухфакторная аутентификация (TOTP) доступна; обязательна для админов.
  • Аннулирование сессии при смене пароля или подозрительной активности.
  • OAuth через Google, Apple (для SSO пароль не нужен).

4. Верификация личности (KYC/KYB)

Каждый B2C-пользователь кошелька проходит KYC через Sumsub или встроенный поток Lightspark перед отправкой платежей. Каждая B2B-организация проходит KYB с раскрытием бенефициаров. Санкционная проверка работает непрерывно, не только при онбординге.

5. Compliance

  • AML / CTF: Полный мониторинг транзакций через рельсы Lightspark; отчёты о подозрительной активности подаются по требованию.
  • Санкции: Скрининг OFAC, EU, UK, UN на каждого нового клиента и каждую транзакцию.
  • GDPR: База данных в ЕС (Франкфурт), data processing agreements со всеми обработчиками, ответ на запросы субъектов данных в течение 30 дней.
  • SOC 2: Roadmap 2026 — Type I attestation ожидается к Q4.

6. Сеть и инфраструктура

  • Хостится на Vercel с global edge distribution.
  • База данных на Supabase (managed Postgres, EU регион, point-in-time recovery включён).
  • DDoS-защита, WAF и rate limiting на edge.
  • Все сторонние интеграции проверены; принимаются только подписанные webhooks (HMAC-SHA256 с timing-safe compare).

7. Реагирование на инциденты

Мы мониторим аномалии 24/7. Если случится инцидент:

  • Затронутые пользователи уведомляются в течение 72 часов.
  • Регуляторы информируются по требованию GDPR Article 33.
  • Публичный post-mortem публикуется после устранения проблемы (status page скоро).

8. Responsible disclosure

Если вы нашли уязвимость, пишите на hello@aregmoney.com с темой [SECURITY]. Мы обязуемся:

  • Подтвердить получение в течение 24 часов.
  • Разобрать в течение 72 часов.
  • Не преследовать добросовестных исследователей, следующих стандартным практикам disclosure.
  • Публичная bug-bounty программа после Series A; приватные награды доступны сейчас за критические находки.

9. Что вы можете сделать

  • Включите MFA в Settings → Security.
  • Используйте уникальный длинный пароль (или менеджер паролей).
  • Проверяйте наш домен (aregmoney.com) перед вводом учётных данных. Мы никогда не запрашиваем пароль по email или чату.
  • Сообщайте о подозрительных письмах якобы от нас.

10. Контакты

Вопросы безопасности или сообщения об уязвимостях: hello@aregmoney.com с темой [SECURITY].

Security · Areg Money