Правовой центр
Юридический документ

Политика безопасности API-ключей

v1.0.0-draftВступает в силу: 2026-06-01Обновлено: 2026-06-01

Это рабочий черновик. Окончательный текст должен быть проверен юристом до коммерческого запуска.

Кратко

TalixTrade подключается к вашей бирже по API-ключу с отключённым выводом средств, поэтому мы можем торговать за вас, но никогда не сможем вывести ваши деньги. Ключи шифруются алгоритмом AES-256-GCM и хранятся только на сервере — они никогда не передаются в ваш браузер или кому-либо ещё. Вы можете удалить ключ в любой момент: бот остановится, а сохранённая запись будет стёрта.

Эта политика объясняет, как TalixTrade обращается с биржевыми API-ключами, которые вы подключаете, что мы делаем и чего не делаем с ними, а также как обеспечить их безопасность. TalixTrade — это торговое программное обеспечение. Это не биржа, не банк, не брокер и не кастодиан. Ваши средства всегда остаются на вашем собственном биржевом счёте (Binance, Bybit или OKX) — мы никогда их не храним, не принимаем и не перемещаем.

Это черновик, подготовленный для последующей проверки юристом. Юридическую экспертизу он ещё не проходил.

Требования к API-ключу

Чтобы запустить бота, вы подключаете API-ключ из своего биржевого аккаунта. Два правила не подлежат обсуждению:

  • Разрешение на вывод средств должно быть отключено. Ключ, который вы нам передаёте, не должен иметь права выводить или отправлять средства куда-либо. Это самая важная мера защиты. Если вывод отключён, никто — ни мы, ни тот, кто каким-то образом получил ключ, — не сможет вывести деньги с вашего счёта.
  • Вы должны подтвердить это при добавлении ключа. Во время настройки мы просим вас подтвердить, что разрешение на вывод отключено.

Там, где биржа позволяет программно проверить права ключа, наша система отклоняет ключи, у которых вывод всё ещё включён. Там, где биржа не предоставляет такую информацию, ответственность за отключение вывода лежит на вас — пожалуйста, перепроверьте это перед сохранением ключа.

Как мы храним ваши ключи

  • Каждый API-ключ (и его секрет) шифруется алгоритмом AES-256-GCM перед записью в нашу базу данных.
  • Ключ шифрования хранится в серверной переменной окружения, отдельно от базы данных. Тот, кто получит лишь копию базы данных, не сможет расшифровать ваши ключи без этого отдельного ключа шифрования.
  • Ключи обрабатываются только на стороне сервера. Они расшифровываются в памяти на наших серверах, когда боту нужно совершить действие, и никогда не передаются в браузер или фронтенд. После сохранения ключа наше веб-приложение никогда не показывает вам секрет обратно.

Для чего мы используем ваши ключи

Мы используем ваш API-ключ строго для работы тех ботов и функций, которые вы включаете. А именно, чтобы:

  • Читать баланс вашего счёта и открытые позиции.
  • Размещать ордера (входы и выходы) в соответствии со стратегией вашего бота.
  • Выставлять ордера тейк-профит (TP) и стоп-лосс (SL).
  • Отменять или изменять ордера.
  • Читать рыночные данные, необходимые для торговых решений.

Чего мы НЕ делаем

Мы никогда не используем ваш ключ, чтобы:

  • Выводить, отправлять или переводить ваши средства куда-либо.
  • Перемещать средства между вашими счетами или кошельками.
  • Торговать ради собственной прибыли или «опережать» ваши ордера.
  • Передавать, продавать или раскрывать ваш ключ любой третьей стороне, помимо технической обработки, описанной в нашей Политике конфиденциальности.

Технически мы не можем выводить средства, потому что предоставленный вами ключ имеет отключённое разрешение на вывод.

Рекомендуемые настройки прав по биржам

Создавая API-ключ на бирже, используйте максимально ограничивающие настройки, которые всё ещё позволяют торговать:

  • Binance: включите торговлю Spot и/или Futures (в зависимости от того, каких ботов вы запускаете). Отключите Withdrawals (Вывод) и отключите Universal Transfer (Универсальный перевод).
  • Bybit: выдайте только права Read (Чтение) и Trade (Торговля). Отключите Withdraw (Вывод).
  • OKX: выдайте только права Read (Чтение) и Trade (Торговля) (без Withdraw). OKX также поддерживает белый список IP — см. ниже.

Белый список IP-адресов

Некоторые биржи позволяют ограничить API-ключ так, чтобы он работал только с определённых серверных IP-адресов. Это добавляет надёжный дополнительный уровень защиты: даже если ключ утечёт, он будет бесполезен из любого другого места.

Если ваша биржа это поддерживает, вы можете добавить в белый список IP-адрес нашего сервера:

49.13.221.175

Белый список IP необязателен, но рекомендуется там, где он доступен. Учтите, что если IP-адрес нашей инфраструктуры в будущем изменится, вам может потребоваться обновить белый список, чтобы ваши боты продолжали работать — мы сообщим вам, если это произойдёт.

Ротация ключей

Мы рекомендуем менять (обновлять) ваши API-ключи примерно каждые 6 месяцев в качестве здоровой привычки безопасности. Чтобы обновить ключ, создайте на бирже новый ключ с теми же ограниченными правами, добавьте его в TalixTrade, а затем удалите старый на бирже.

Удаление ключа

Вы можете удалить подключённый API-ключ в любой момент в настройках своего аккаунта. Когда вы это делаете:

  • Любой бот, использующий этот ключ, останавливается.
  • Зашифрованная запись, которую мы храним, стирается.

Удаление ключа в TalixTrade не удаляет его на бирже — для полной безопасности после удаления здесь также удалите или отключите ключ в своём биржевом аккаунте.

Уведомление об утечке

Мы серьёзно относимся к безопасности ваших ключей. Если нам когда-либо станет известно об инциденте безопасности, затрагивающем ваши API-ключи или другие персональные данные, мы уведомим затронутых пользователей в течение 72 часов с момента, когда нам стало об этом известно, опишем, что произошло и что нам известно, и объясним, какие шаги мы предпринимаем и какие шаги рекомендуем вам (например, немедленно отозвать затронутый ключ на бирже).

Контакт

Есть вопросы о безопасности API-ключей или хотите сообщить о проблеме? Напишите нам на [email protected].

Эта политика действует вместе с нашими Условиями использования и Политикой конфиденциальности.

Оператор: Щур Антон Євгенович, Физическое лицо-предприниматель (ФОП), зарегистрированный в Украине (3-я группа упрощённого налогообложения). Реестр: 2011600000000040678. Адрес: м. Дніпро, Дніпропетровська область, Україна. Применимое право: Украина.

Вопросы по этому документу: [email protected]