Ağustos Ayı AMA Özeti: Nexo’nun Sıkı Güvenlik Standartları

Screenshot_2

Nexo’nun 2018’deki kuruluşundan bu yana, sistemlerimizin güvenliğinden her zaman gurur duyduk ve sistemlerimizin en üst düzeyde bütünlüğünü koruyarak müşterilerimizin verileri için benzersiz bir koruma sağladık. Üst düzey güvenlik altyapımız, veri ihlallerini sürekli olarak önleyerek kusursuz bir performans geçmişine sahiptir.

Nexo, yakın zamanda Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından verilen saygın bir onay olan SOC 2 Tip 2 Uyumluluk sertifikasını aldı. Kripto sektöründe yalnızca seçilmiş birkaç kişi tarafından paylaşılan bu kilometre taşı, Nexo’nun en yüksek güvenlik standartlarına bağlılığının bir kanıtıdır. Bağımsız SOC 2 değerlendirmesi, müşterileri arasında T-Mobile ve Alloy’u da sayan önde gelen siber güvenlik firması A-LIGN‘ın denetimi altında gerçekleştirildi. Bu başarı, veri güvenliği ve gizlilik düzenlemelerine uyum da dahil olmak üzere güvenin temel ilkelerine olan sarsılmaz bağlılığımızı bir kez daha doğrulamaktadır.

Buna uygun olarak, ağustos ayının başlarında Nexo Kurucu Ortağı ve Yönetici Ortağı Antoni Trenchev, perde arkasında yapılan sıkı çalışmayı ve müşteri veri güvenliğinde kusursuz bir geçmiş performansa ulaşmak için neler gerektiğini açıklamak üzere şirketin Bilgi Güvenliği Baş Sorumlusu Milan Velev’i ağırladı.

Ağustos AMA oturumu özetine ve önemli çıkarımlara bir göz atın:

  • Nexo’nun dinamik kripto ve güvenlik ortamına ayak uydurmaya yönelik kusursuz geçmişi, performansı ve proaktif önlemleri, veri koruma ve gelişen güvenlik ihtiyaçlarına olan bağlılığının bir kanıtıdır.
  • Siber saldırı dünyası, hem yeni hem de uzun süredir devam eden tehditleri harmanlayarak geliştikçe, Nexo’nun bağımsız denetimler ve üçüncü taraf sertifikalarıyla desteklenen sıkı dahili sistemleri, müşteri verilerinin en üst düzeyde korunmasını garanti eder.
  • Dikkatli altyapı izlemenin ötesinde, Nexo’nun titizlikle hazırlanmış süreçleri ve prosedürleri, Bilgi Güvenliği departmanının günlük görevlerine sorunsuz bir şekilde entegre edilen başarılı bir bilgi güvenliği yönetişim programı için temel oluşturur.

S (02:58): Sertifikalar, lisanslar, denetimler ve tasdikler bir kripto şirketinin güvenlik duruşunu nasıl geliştirir ve bu alanlardaki olası güvenlik açıklarını önlemek için ne gibi önlemler uygulanır?

Antoni: Lisanslar düzenleyici riskleri ve belirsizliği ele alır. Denetimler ve tasdikler karşısında üçüncü taraf onayları harika araçlardır, ancak sınırlamaları da vardır. Sürekli olarak işleri nasıl daha iyi yapabileceğinizi araştırmalısınız çünkü alan gelişiyor ve bir kripto şirketinin ihtiyaçları gelişiyor.

En önemli ölçüt, Nexo’nun veya blockchain’in tarihi boyunca hiçbir eksiklik yaşanmayan geçmiş performanstır (bir şirketin krizleri, ayı piyasalarını, felaketleri nasıl ele aldığı). Bir şirketin gelecekte nasıl performans gösterebileceğini tahmin etmek için en önemli ölçümdür.

Günün sonunda yeni zorluklar, ihtiyaçlar ve istismarlar ortaya çıkacak. Bir şirketin ne kadar başarılı olduğunu gösteren nihai test, geçmişe, zorluklara ve 2022’de yaptığımız tüm doğru şeylere bakmaktır; bunun beceri gerektirdiğini düşünmek hoşuma gidiyor. Kripto alanında en iyi işlerden birini yaptık; Nexo’yu ilk kez keşfedenler için geçmiş performansa bakabilir ve kendi kararınızı verebilirsiniz.

Milan: Bağımsız denetim son derece önemlidir çünkü bir kuruluşun bilgi güvenliği duruşundaki boşlukları tespit edebilir. Bu nedenle SOC 2 Tip 2 denetimini hiçbir istisna olmadan tamamlamış olmamızdan dolayı son derece gururluyuz. Bu da çabalarımızın, yaptığımızın ve söylediklerimizi başardığımızın bir başka doğrulamasıdır.

S (08:15): Kişisel verilerin aktarılırken, kullanılırken, değiştirilirken, saklanırken ve silinirken korunmasını düzenleyen teknik ve organizasyonel önlemleri belgelediniz mi?

Milan: Kesinlikle öyle. Bilgi güvenliği programımız, güçlü ve sürekli gelişen bir dizi bilgi güvenliği politikası ve prosedürüne dayanmaktadır. Bu politika ve prosedürler, daha önce ISO 27001 sertifikamızı alarak ve elbette SOC 2 Tip 2 denetimini istisnasız başarıyla tamamlayarak doğrulanmıştır. İyi belgelenmiş süreç ve prosedürlerin her başarılı bilgi güvenliği yönetişim programının temelini oluşturduğuna kesinlikle inanıyoruz, dolayısıyla bu prensibi günlük görevlerimize uyguluyoruz.

S (18:30): Mevcut kripto ekosistemiyle ilgili en büyük endişeniz nedir? Nexo’nun ürün yelpazesinde buna nasıl yaklaşıyorsunuz?

Milan: Kripto alanı siber suçlular için çekici bir hedef oldu. Tehditlerle proaktif bir yaklaşımla mücadele ediyoruz ve saldırganların önünde kalmamızı sağlayan son teknoloji ürünü bir siber tehdit istihbarat programını hayata geçirdik. Statik ve dinamik uygulama güvenliği testlerinde ürünlerimizin geliştirilmesinde uygulama güvenliği konusunda sektörde bilinen uygulamaları da uyguluyoruz. Diğer önlemlerin yanı sıra düzenli olarak güvenlik açığı değerlendirmeleri, iç ve dış sızma testleri gerçekleştiriyoruz. Müşterilerimize piyasadaki en güvenli ürünleri sunmak için geliştirme ekiplerimizle yakın işbirliği içinde çalışıyoruz.

Kripto, kripto hırsızlığı, flaş kredi saldırıları, dünya havuzu saldırıları gibi yeni saldırı türlerini tanıttı, ancak sosyal mühendislik ve kimlik avı saldırıları gibi bazı eski istismarlar da var. Yeni trendlerin farkındayız ama eskilere karşı da son derece temkinli davranıyoruz.

S (22:33): Nexo, ortaya çıkan siber güvenlik tehditleri ve sürekli gelişen bilgisayar korsanlığı teknikleri karşısında kullanıcı verilerinin korunmasını ve gizliliğini nasıl sağlıyor?

Milan: Piyasadaki en iyi çözümleri uygulayarak altyapımızda çok sayıda savunma katmanına güveniyoruz. Müşterilerimizin verilerini, kullanımda olmayan ve aktarım sırasında sektörün en tanınmış algoritmalarını kullanarak şifreliyoruz, bu da onların bu noktada kırılmasını imkansız hale getiriyor. Ticari ve açık kaynaklı araçların kullanımını içeren bir siber tehdit istihbarat programı oluşturduk. Ayrıca karanlık web forumlarını da izliyoruz ve kripto alanındaki önde gelen güvenlik araştırmacılarıyla işbirliği yapıyoruz. Çabalarımız, bahsettiğimiz gibi SOC 2 Type 2 sertifikası ve diğerleri tarafından takdir edilmiştir. Müşterilerimizin verilerini korumaya yönelik sürekli kararlılığımızı göstermek amacıyla şu anda ek sertifikalar alma sürecindeyiz.

SOC 2 Type 2 sertifikasını almak, BT sektöründe bir kuruluşun sistem ve kontrollerinin, hassas verilerin yanı sıra müşterilerimizin bilgilerinin gizliliğini ve güvenliğini korumak amacıyla tasarlanmasını ve etkili bir şekilde çalışmasını sağlayan bir standarttır. Bu tek seferlik bir çaba değil; müşterilerimizin verilerinin güvenliği ve gizliliğine olan bağlılığımızı defalarca göstermek için bu süreçten önümüzdeki yıllarda geçeceğiz.

S (25:54): Hacken akıllı sözleşme denetçisi, Nexo’nun saklama dışı cüzdanını bağımsız denetiminde 10 üzerinden mükemmel bir puanla nasıl değerlendirdi?

Milan: Akıllı sözleşmeler sıklıkla dışarıdan denetlenir; bu, DeFi evreninin derinliklerine kök salmış bir gerekliliktir ve kişinin her zaman bir sınava girmeye hazır olduğunu gösterir. Bu yüzden Hacken’ı seçtik. Harici, bağımsız akıllı sözleşme denetimleri bizim için son derece önemlidir ve müşterilerimiz için de önemli olmalıdır, çünkü bu ek bir doğrulamadır; bu yapmak istediğimiz bir şeydir ve böyle bir puan aldığımız için gerçekten mutluyuz.

S (28:50): Dağıtılmış hizmet reddi saldırılarına (DDoS) karşı korunmak ve platformun kullanılabilirliğini sağlamak için ne gibi önlemler alıyorsunuz?

Milan: DDoS olarak adlandırılan dağıtılmış hizmet reddi saldırısı, bir süredir her kuruluş için, özellikle de finans sektöründekiler için önemli bir tehdit oluşturuyor. Bilgisayar korsanlarının bir uygulamanın kullanılabilirliğini bozmak ve yetkili kullanıcıların uygulamaya erişmesini engellemek için büyük miktarlarda kötü amaçlı trafik gönderdiği bir saldırı türüdür. Platformumuza kesintisiz erişim sağlamak için önemli çabalar sarf ettik. Ayrıca bulut altyapımızda ve web uygulaması güvenlik duvarımızda bu tür en karmaşık ve gelişmiş saldırıları önlemek için özel DDoS çözümleri uyguluyoruz ve ayrıca CDN çözümümüzde hız sınırlama özelliklerine sahip gelişmiş DDoS koruması kullanıyoruz.

S (37:07): Bir güvenlik ihlali durumunda etkilenen kullanıcıları bilgilendirmek ve onlara yardımcı olmak için hangi adımları atacaksınız?

Milan: En üst düzey güvenlik altyapımız, kod ve veri sızıntılarını ve ihlallerini önleyen mükemmel bir performans geçmişine sahiptir. Düzenli olarak test edilen bir olay müdahale programımız var; uygulanabilirliği ve güvenilirliği ISO 27001 ile belgelenmiştir. Ayrıca 7/24 izleyen bir güvenlik operasyon merkezi departmanımız da bulunmaktadır. İletişim ekibimiz 7/24 hizmetinizdedir ve bir olay veya güvenlik ihlali durumunda müdahale programımızda açıklanan prosedürleri takip edeceğiz.

Çevrimiçi emniyet ve güvenliğin nasıl sağlanacağına ilişkin diğer kullanıcı dostu ipuçları için Nexo’nun Güvenlik Temelleri: Hesabınızı Korumak İçin Kolay Adımlar kitabını inceleyin.

Exit mobile version