Деятельность мониторингов сильно устарела. Что стоит изменить?

[BestChange]

@domikod , добрый день.
 

Мы понимаем, что любая мера контроля вызывает вопросы, особенно если кто-то пытается представить её как ограничение.
Однако аудит IT-безопасности — это не формальность и не источник прибыли для кого-то, а часть базовых требований к защите пользователей. Мы несем ответственность перед миллионами пользователей, которые ежедневно находят надёжные обменные сервисы через нашу площадку и доверяют представленным на ней данным. Поэтому мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности.
 

SevenSenses — одна из компаний, с которой мы сотрудничаем уже много лет. Она действительно проводит независимые аудиты для новых обменников, чтобы убедиться, что их программное обеспечение безопасно. Никто не навязывает именно её: аудит можно проходить и в других аккредитованных компаниях с аналогичным уровнем компетенций. Средняя стоимость аудита у подобных компаний начинается примерно от $6 000 — это нормальная рыночная цена для полноценной проверки финтех-продукта. 
 

Наша цель проста — гарантировать безопасность пользователей, а не ограничить разработчиков. Чем больше на рынке будет надёжных и технологичных решений, тем лучше для всей индустрии.

[richkeeper]

42 минуты назад, BestChange сказал:

Однако аудит IT-безопасности — это не формальность и не источник прибыли для кого-то, а часть базовых требований к защите пользователей. Мы несем ответственность перед миллионами пользователей, которые ежедневно находят надёжные обменные сервисы через нашу площадку и доверяют представленным на ней данным. Поэтому мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности.

 

Но вы же рекомендуете скрипт PremiumExchanger, который никогда не проходил аудит безопасности и не пройдет. Видимо, все же это формальность и это средство вашего заработка.

 

42 минуты назад, BestChange сказал:

SevenSenses — одна из компаний, с которой мы сотрудничаем уже много лет. Она действительно проводит независимые аудиты для новых обменников, чтобы убедиться, что их программное обеспечение безопасно.

 

Я написал им, они ответили что их деятельность в этой сфере не сертифицирована и не лицензирована. Получается, они не имеют права делать подобные аудиты. Вы либо знаете об этом, но вводите пользователей в заблуждение, либо сами не знаете кого рекомендуете.

 

@BestChange вы конечно же правы, любое уважающее себя ПО, обязано пройти аудит, чтобы пользователи были в безопасности. Но почему-то ваши правила распространяются не на всех, а выборочно. К примеру, пусть сайты на PremiumExchanger взламывают, по вашей рекомендации.
И да, когда я к вам обратился с вопросом могу ли я пройти аудит у лицензированного аудитора, а не у каких-то фрилансеров из Гонконга, вы до сих пор думаете что ответить. Больше недели думаете... 

 

Все это как-то странно. И увы наталкивает только на странные мысли.

Edited 21 Oct 2025, 12:00 by richkeeper
добавил скрины ответа от 7senses

[domikod]

10 часов назад, BestChange сказал:

@domikod , добрый день.
 

Мы понимаем, что любая мера контроля вызывает вопросы, особенно если кто-то пытается представить её как ограничение.
Однако аудит IT-безопасности — это не формальность и не источник прибыли для кого-то, а часть базовых требований к защите пользователей. Мы несем ответственность перед миллионами пользователей, которые ежедневно находят надёжные обменные сервисы через нашу площадку и доверяют представленным на ней данным. Поэтому мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности.
 

SevenSenses — одна из компаний, с которой мы сотрудничаем уже много лет. Она действительно проводит независимые аудиты для новых обменников, чтобы убедиться, что их программное обеспечение безопасно. Никто не навязывает именно её: аудит можно проходить и в других аккредитованных компаниях с аналогичным уровнем компетенций. Средняя стоимость аудита у подобных компаний начинается примерно от $6 000 — это нормальная рыночная цена для полноценной проверки финтех-продукта. 
 

Наша цель проста — гарантировать безопасность пользователей, а не ограничить разработчиков. Чем больше на рынке будет надёжных и технологичных решений, тем лучше для всей индустрии.

 

Интересно что это за компания такая что даже Китайский интернет её не находит.

Берем Baidu.com, So.com, Sogou.com и смотрим. Также если вбить в Google, то тоже ничего нет. Интересно каким даром Ванги вы обладаете что нашли компанию непонятно где. Ааа я знаю... Прогуливался как-то @BestChange по Гонконгу и такой Ооо! Смотри 7senses.io - надо брать )))

 

 

Edited 21 Oct 2025, 22:16 by domikod

[richkeeper]

Уважаемый представитель @BestChange, хотелось бы у вас уточнить все вопросы касаемо аудита безопасности, который вы требуете.

 

После получения подобного требования от вас, я, как автор и разработчик, стал изучать данный вопрос. Позвонил и опросил около 30 компаний различного уровня и вот к чему я пришел.

 

Что вообще существует в этом мире: 

 

- Аудит IT-безопасности

Это системная оценка и анализ текущего уровня защищенности ИТ-инфраструктуры организации.
По-простому, это аудит сети, серверов и прочего компании на соответствие требований государства и стандартам. 

Проводить аудит безопасности следует только в том случае, если у компании есть свои сервера и инфраструктура.

Имеют право проводить аудит только компании имеющие лицензированную деятельность и сертификацию.

По результату аудита: выдается отчет для отчётных органов.

 

- Аудит исходного кода программы 
Как сказано из названия, это аудит исходного кода программы на логику, архитектуру и соответствие.

По-простому, когда вам фрилансер пишет код, вы можете провести аудит кода, чтобы понять на сколько верны его познания в программировании.

Проводить этот аудит стоит только в том случае, если код написан человеком, который не является специалистом. Другими словами не может подтвердить свою квалификацию образованием.

 

- Пентест ПО

Проводится один раз на текущую версию программы. Это анализ на уязвимости, анализ на проникновение и прочее.

Данный вид аудита, необходимо проходить каждый раз, при выходе новой версии программы, либо написании дополнительного функционала (мерчанта, платежной системы и прочего).

Аудит проводится без сертификации и лицензий. Любой фрилансер может дать подобный аудит и его следует считать действительным.

 

- Пентест сайта
Это уже аудит безопасности ДНС и сервера. Сюда входит и ДДОС проверка и проверка сервера на взлом и уязвимости. Не важно безопасно ли ПО, каждый сайт обязан сделать подобную проверку.

Аудит проводится без сертификации и лицензий. Любой фрилансер может дать подобный аудит и его следует считать действительным.

 

Вывод: 

 

Больше никаких аудитов для ПО и сайтов просто не существует.

 

И отсюда возникают следующие вопросы:

 

1. Если вы действительно несёте ответственность перед миллионами пользователей, как вы утверждаете, то почему же вы рекомендуете скрипты, которые не проходят пентест от версии к версии и/или с появлением новых мерчантов и функций?

 

2. Если вы действительно несёте ответственность перед миллионами пользователей, как вы утверждаете, то почему вы не запрашиваете аудит каждого обменника, как сайта, вне зависимости от скрипта? Хотелось бы вам напомнить, что защитить сервер с помощью скрипта не возможно.

 

3. Какую цель, кроме финансовой, вы преследуете заставляя проходить администраторов обменников пентест у фрилансеров типа 7Senses? 
Это молодая команда фрилансеров из Питера-Гонконга, которая осуществляет свою деятельность недавно, несмотря на ваши утверждения об обратном.
Вы говорите про какую-то аккредитацию, но её нет. Мы даже банально не видим, есть ли у людей образование, не говоря уже про отсутствие лицензии или сертификации.

 

4. Если вы уже решили взять на себя роль регулятора безопасности, это отлично. Но почему вы не соблюдаете все требования безопасности? 
Каждое ПО должно делать пентест с отчетом после каждого нововведения, а также каждый обменник обязан пройти пентест сайта и сервера вне зависимости от ПО. 

 

5. Раз уж вы решили, что вы имеете право проверять безопасность и отчеты безопасности. Не желаете ли вы подтвердить, что вы вообще в них что-то понимаете и имеете право проверять их?
Подтвердить сертификатами или лицензией уровень аудиторов с вашей стороны, хотя бы наличием образования в IT-сфере.
 

Приведу личный пример, я имею диплом о высшем образовании международного образца. Я фуллстек-разработчик с 16 летним стажем. Являюсь автором и разработчиком ExchangeBox, PremiumExchanger и RichExchanger. Моё мнение, как эксперта, допустимо в любом суде мира. Но вы мне не верите и требует какой-то аудит, о котором сами ничего не знаете и который я могу себе выписать лично.

 

6. Нести ответственность - это не просто слова. Нести ответственность - это отвечать за каждый взлом финансово. Вы готовы нести подобную ответственность в случаях, если сайт предоставляет вам всю информацию по вашему требованию? Получается, если сейчас какой-то сайт из листинга будет взломан, вы восстановите ущерб?

 

@BestChange, я прошу вас открыто ответить на данные вопросы и развеять все сомнения пользователей. 

Edited 22 Oct 2025, 15:40 by richkeeper

[Deponat]

4 часа назад, richkeeper сказал:

Приведу личный пример, я имею диплом о высшем образовании международного образца. Я фуллстек-разработчик с 16 летним стажем. Являюсь автором и разработчиком ExchangeBox, PremiumExchanger и RichExchanger. Моё мнение, как эксперта, допустимо в любом суде мира. Но вы мне не верите и требует какой-то аудит, о котором сами ничего не знаете и который я могу себе выписать лично.

 

ExchangeBox, PremiumExchanger и RichExchanger

А вот это уже интересно!

 

[BestChange]

В 21.10.2025 в 14:52, richkeeper сказал:

Но вы же рекомендуете скрипт PremiumExchanger, который никогда не проходил аудит безопасности и не пройдет. Видимо, все же это формальность и это средство вашего заработка.

Вы уже обращались с данными вопросами к нам на почту, и мы объяснили нашу позицию. Продублируем здесь:
На момент начала сотрудничества с Premium Exchanger компания уже много лет проработала на рынке и на её ПО без значительных инцидентов функционировали десятки обменных пунктов — именно поэтому мы можем рекомендовать продукт. Как Вы сами писали нам по почте, этот скрипт "прошёл проверку временем, качеством и пользуется спросом у потребителя" — теперь же Вы выражаете противоположную позицию.

Кроме того, Ваш изначальный запрос состоял в том, чтобы мы принимали обменные пункты, работающие на Вашем ПО RichExchanger, без аудита безопасности — хотя теперь пишете, что "любое уважающее себя ПО, обязано пройти аудит".

Как мы уже писали Вам — для RichExchanger аудит потребуется, так как продукт появился совсем недавно и работающие на нём сервисы на момент проверки тоже отсутствовали — то есть возможности как-либо оценить его надежность и прочие свойства нет. При этом мы сообщили, что можем порекомендовать компанию 7Senses, но Вы также можете выбрать любого другого исполнителя.

В 21.10.2025 в 14:52, richkeeper сказал:

И да, когда я к вам обратился с вопросом могу ли я пройти аудит у лицензированного аудитора, а не у каких-то фрилансеров из Гонконга, вы до сих пор думаете что ответить. Больше недели думаете... 

От вас поступил запрос можете ли использовать определенную альтернативную компанию для проведения аудита, и мы ответили, что нам потребуется некоторое время для изучения информации по ней. Но уже через два дня, не дожидаясь ответа, Вы начали писать нам по поводу 7Senses. 
Это серьёзный вопрос и его проработка требует времени. Как правило, срок рассмотрения в подобных случаях составляет от 1 до 4 недель.

 

В 21.10.2025 в 14:52, richkeeper сказал:

Я написал им, они ответили что их деятельность в этой сфере не сертифицирована и не лицензирована. Получается, они не имеют права делать подобные аудиты. Вы либо знаете об этом, но вводите пользователей в заблуждение, либо сами не знаете кого рекомендуете.

Качество работы 7Senses было проверено нами. Мы, а также наши партнеры неоднократно проводили анализ результатов тестирования различного ПО сотрудниками этой компании и во всех случаях приходили к выводу о том, что работа выполнена на высоком уровне.
Квалификация сотрудников компании подтверждается соответствующими сертификатами.
По этим причинам мы уверены в качестве услуг данной компании. 
Но, повторимся, использование именно этой компании для проведения аудита не является обязательным требованием.

 

Надеемся, теперь наша позиция стала для Вас более понятной. Мы готовы продолжать диалог как в переписке по почте, так и публично, однако просим Вас не искажать полученную от нас информацию — так диалог будет гораздо более продуктивным.

[StratosChange]

@BestChange  
Подскажите пожалуйста, а как обменный пункт прошел листинг на ПО от разработчиков https://uiexchanger.com/
https://bitrocket.top/ https://www.bestchange.ru/bitrocket-exchanger.html
По информации из источников,  разработчики не проходили аудиты и обменник был добавлен в листинг мониторинга.

[richkeeper]

1 час назад, BestChange сказал:

На момент начала сотрудничества с Premium Exchanger компания уже много лет проработала на рынке и на её ПО без значительных инцидентов функционировали десятки обменных пунктов — именно поэтому мы можем рекомендовать продукт. Как Вы сами писали нам по почте, этот скрипт "прошёл проверку временем, качеством и пользуется спросом у потребителя" — теперь же Вы выражаете противоположную позицию.

 Я не выражаю противоположную позицию. Мне не понятна ваша логика, как в прочем и остальным. Поэтому я задам вопрос еще раз:

 

Вы правда считаете, что если на скрипте много обменников и он популярен, тогда он обязательно является безопасным и не требует аудита безопасности? Разве понятия популярность, спрос и многолетняя работа, способны подтвердить безопасность какого-либо продукта? 

 

1 час назад, BestChange сказал:

Как правило, срок рассмотрения в подобных случаях составляет от 1 до 4 недель.

 

В ваших правилах нигде не указано сроки рассмотрения вопросов, поэтому я и удивился, что в течении недели не получил ответа. Я, к сожалению, не знаю ваших внутренних распорядков, они не публичны и упрекать меня в этом не знании, как минимум невежественно.

 

Я получил от вас ответ по этому поводу. Задал уточняющие вопросы. Да, действительно мы сейчас обсуждаем это в переписке.

 

1 час назад, BestChange сказал:

Качество работы 7Senses было проверено нами. Мы, а также наши партнеры неоднократно проводили анализ результатов тестирования различного ПО сотрудниками этой компании и во всех случаях приходили к выводу о том, что работа выполнена на высоком уровне.
Квалификация сотрудников компании подтверждается соответствующими сертификатами.
По этим причинам мы уверены в качестве услуг данной компании. 
Но, повторимся, использование именно этой компании для проведения аудита не является обязательным требованием.

 

Вы настаиваете на том, что я подделал их ответ и приложил скрин-подделку? я правильно трактую ваши слова?

Я свои доводы подтвердил наличием скрина, а вы можете подтвердить свои слова, кроме их неоднократного повторения?

 

@BestChange ваши ответы ничего не прояснили, к сожалению. И пока что, как мы видим, факты искажаете только вы.

Edited 23 Oct 2025, 11:47 by richkeeper

[BestChange]

В 22.10.2025 в 17:57, richkeeper сказал:

1. Если вы действительно несёте ответственность перед миллионами пользователей, как вы утверждаете, то почему же вы рекомендуете скрипты, которые не проходят пентест от версии к версии и/или с появлением новых мерчантов и функций?

 

2. Если вы действительно несёте ответственность перед миллионами пользователей, как вы утверждаете, то почему вы не запрашиваете аудит каждого обменника, как сайта, вне зависимости от скрипта? Хотелось бы вам напомнить, что защитить сервер с помощью скрипта не возможно.

Мы стремимся максимально обезопасить наших пользователей и обменные пункты в рамках своих возможностей, поэтому рекомендуем владельцам сервисов использовать продукты только от проверенных временем, положительно зарекомендовавших себя разработчиков.
Мы считаем, что многолетний опыт работы без значительных инцидентов говорит о том, что процессы, обеспечивающие безопасность, налажены должным образом.   

Если продукт появился на рынке недавно, то сложно судить об уровне его безопасности, поэтому мы просим проходить дополнительные проверки. Именно поэтому Вам был направлен такой запрос.

Если обменный пункт использует ПО собственной разработки или разработки не специализированного производителя, мы изучаем ситуацию индивидуально. В тех случаях, когда разработчик не имеет собственных соответствующих процедур, чаще всего просим проводить пентесты или полноценные аудиты ИБ. 

В 22.10.2025 в 17:57, richkeeper сказал:

3. Какую цель, кроме финансовой, вы преследуете заставляя проходить администраторов обменников пентест у фрилансеров типа 7Senses? 
Это молодая команда фрилансеров из Питера-Гонконга, которая осуществляет свою деятельность недавно, несмотря на ваши утверждения об обратном.
Вы говорите про какую-то аккредитацию, но её нет. Мы даже банально не видим, есть ли у людей образование, не говоря уже про отсутствие лицензии или сертификации.

Мы неоднократно публично и в письмах Вам лично сообщали о возможности выбрать любого зарекомендовавшего себя аудитора.
По качеству работы и сертификации 7Senses мы прокомментировали выше.

В 22.10.2025 в 17:57, richkeeper сказал:

4. Если вы уже решили взять на себя роль регулятора безопасности, это отлично. Но почему вы не соблюдаете все требования безопасности? 
Каждое ПО должно делать пентест с отчетом после каждого нововведения, а также каждый обменник обязан пройти пентест сайта и сервера вне зависимости от ПО. 

 

5. Раз уж вы решили, что вы имеете право проверять безопасность и отчеты безопасности. Не желаете ли вы подтвердить, что вы вообще в них что-то понимаете и имеете право проверять их?
Подтвердить сертификатами или лицензией уровень аудиторов с вашей стороны, хотя бы наличием образования в IT-сфере.

Мы не имеем возможности и стремления брать на себя роль регулятора в области безопасности. При этом, как и любой частный проект, мы можем самостоятельно определять важные для нас критерии выбора партнёров. 
Каждый запрос на сотрудничество рассматривается в индивидуальном порядке и по совокупности факторов, часть из которых мы уже описали выше.

Также напоминаем, что BestChange – это частный проект, сотрудничество с которым является добровольным. Если для Вас наши подходы к работе неприемлемы, то самым разумным решением будет просто отказаться от сотрудничества.

В 22.10.2025 в 17:57, richkeeper сказал:

6. Нести ответственность - это не просто слова. Нести ответственность - это отвечать за каждый взлом финансово. Вы готовы нести подобную ответственность в случаях, если сайт предоставляет вам всю информацию по вашему требованию? Получается, если сейчас какой-то сайт из листинга будет взломан, вы восстановите ущерб?

Напоминаем, что мониторинг BestChange — это информационный ресурс, поэтому те меры, о которых Вы говорите, не могут быть реализованы в рамках проекта.

Чтобы обеспечить безопасность своих пользователей, мы проводим комплексные проверки, гораздо более глубокие, чем у любых других аналогичных сервисов. 18 лет успешной работы и доверие миллионов пользователей показывают эффективность данного подхода.

 

Надеемся, Вы получили ответы на интересующие Вас вопросы.

3 часа назад, richkeeper сказал:

Я не выражаю противоположную позицию. Мне не понятна ваша логика, как в прочем и остальным. Поэтому я задам вопрос еще раз:

 

Вы правда считаете, что если на скрипте много обменников и он популярен, тогда он обязательно является безопасным и не требует аудита безопасности? Разве понятия популярность, спрос и многолетняя работа, способны подтвердить безопасность какого-либо продукта? 

Изначально Вы пришли к нам с запросом, чтобы мы принимали обменные пункты на Вашем новом скрипте без аудита. Вы мотивировали это тем, что написанный Вами скрипт Premium Exchanger "прошёл проверку временем, качеством и пользуется спросом у потребителя" – то есть на Ваш взгляд это являлось достаточным подтверждением качества и безопасности. Мы разделяем эту позицию, о чём писали выше. 
Но компания Premium Exchanger не подтвердила информацию о том, что Вы являетесь единоличным разработчиком скрипта. Кроме того, ни подробной информации, ни отзывов, ни работающих на Вашем новом скрипте обменных пунктов обнаружить не удалось.
По этой причине нам пришлось попросить у Вас аудит, после чего Вы резко изменили свою позицию на ту, что изложили выше.

 

3 часа назад, richkeeper сказал:

В ваших правилах нигде не указано сроки рассмотрения вопросов, поэтому я и удивился, что в течении недели не получил ответа. Я, к сожалению, не знаю ваших внутренних распорядков, они не публичны и упрекать меня в этом не знании, как минимум невежественно.

 

Я получил от вас ответ по этому поводу. Задал уточняющие вопросы. Да, действительно мы сейчас обсуждаем это в переписке.

18.10.25г. мы направили Вам ответ о том, что приступили к анализу информации по указанной Вами организации. 21.10 Вы опубликовали пост, в котором написали, что ждёте ответа больше недели.

 

3 часа назад, richkeeper сказал:

Вы настаиваете на том, что я подделал их ответ и приложил скрин-подделку? я правильно трактую ваши слова?

Я свои доводы подтвердил наличием скрина, а вы можете подтвердить свои слова, кроме их неоднократного повторения?

В переписке мы сообщили Вам, что нам сложно судить о том, с чем связано расхождение в Ваших и наших данных, и порекомендовали Вам сделать дополнительный запрос в 7Senses с учётом полученной от нас информации, чтобы прояснить ситуацию.

Пожалуйста, уточните, из каких именно наших слов Вы сделали вывод о том, что мы обвиняем Вас в фальсификации данных.

[domikod]

4 часа назад, StratosChange сказал:

@BestChange  
Подскажите пожалуйста, а как обменный пункт прошел листинг на ПО от разработчиков https://uiexchanger.com/
https://bitrocket.top/ https://www.bestchange.ru/bitrocket-exchanger.html
По информации из источников,  разработчики не проходили аудиты и обменник был добавлен в листинг мониторинга.

 

Уже отрубили 😆 но сам факт что он был на бесте говорит о том что никакой аудит не требуется!

 

Edited 23 Oct 2025, 15:24 by domikod

[domikod]

38 минут назад, BestChange сказал:

Мы стремимся максимально обезопасить наших пользователей и обменные пункты в рамках своих возможностей, поэтому рекомендуем владельцам сервисов использовать продукты только от проверенных временем, положительно зарекомендовавших себя разработчиков.
Мы считаем, что многолетний опыт работы без значительных инцидентов говорит о том, что процессы, обеспечивающие безопасность, налажены должным образом.   

Если продукт появился на рынке недавно, то сложно судить об уровне его безопасности, поэтому мы просим проходить дополнительные проверки. Именно поэтому Вам был направлен такой запрос.

Если обменный пункт использует ПО собственной разработки или разработки не специализированного производителя, мы изучаем ситуацию индивидуально. В тех случаях, когда разработчик не имеет собственных соответствующих процедур, чаще всего просим проводить пентесты или полноценные аудиты ИБ. 

Мы неоднократно публично и в письмах Вам лично сообщали о возможности выбрать любого зарекомендовавшего себя аудитора.
По качеству работы и сертификации 7Senses мы прокомментировали выше.

Мы не имеем возможности и стремления брать на себя роль регулятора в области безопасности. При этом, как и любой частный проект, мы можем самостоятельно определять важные для нас критерии выбора партнёров. 
Каждый запрос на сотрудничество рассматривается в индивидуальном порядке и по совокупности факторов, часть из которых мы уже описали выше.

Также напоминаем, что BestChange – это частный проект, сотрудничество с которым является добровольным. Если для Вас наши подходы к работе неприемлемы, то самым разумным решением будет просто отказаться от сотрудничества.

Напоминаем, что мониторинг BestChange — это информационный ресурс, поэтому те меры, о которых Вы говорите, не могут быть реализованы в рамках проекта.

Чтобы обеспечить безопасность своих пользователей, мы проводим комплексные проверки, гораздо более глубокие, чем у любых других аналогичных сервисов. 18 лет успешной работы и доверие миллионов пользователей показывают эффективность данного подхода.

 

Надеемся, Вы получили ответы на интересующие Вас вопросы.

Изначально Вы пришли к нам с запросом, чтобы мы принимали обменные пункты на Вашем новом скрипте без аудита. Вы мотивировали это тем, что написанный Вами скрипт Premium Exchanger "прошёл проверку временем, качеством и пользуется спросом у потребителя" – то есть на Ваш взгляд это являлось достаточным подтверждением качества и безопасности. Мы разделяем эту позицию, о чём писали выше. 
Но компания Premium Exchanger не подтвердила информацию о том, что Вы являетесь единоличным разработчиком скрипта. Кроме того, ни подробной информации, ни отзывов, ни работающих на Вашем новом скрипте обменных пунктов обнаружить не удалось.
По этой причине нам пришлось попросить у Вас аудит, после чего Вы резко изменили свою позицию на ту, что изложили выше.

 

18.10.25г. мы направили Вам ответ о том, что приступили к анализу информации по указанной Вами организации. 21.10 Вы опубликовали пост, в котором написали, что ждёте ответа больше недели.

 

В переписке мы сообщили Вам, что нам сложно судить о том, с чем связано расхождение в Ваших и наших данных, и порекомендовали Вам сделать дополнительный запрос в 7Senses с учётом полученной от нас информации, чтобы прояснить ситуацию.

Пожалуйста, уточните, из каких именно наших слов Вы сделали вывод о том, что мы обвиняем Вас в фальсификации данных.

 

Я не могу понять о чем вы спорите @BestChange ? Ведь по сути вы все эти годы и работали с @richkeeper Как я понимаю он является основателем, учредителем и единенным (я подчеркну) создателем Exchangebox и Premiumexchanger.  Вам нужно не требовать какие-то аудиты от разработчика, который все эти годы делал для вас отличный софт и который давал вам возможность на этом зарабатывать, а вам нужно падать на колени и сто раз извинятся! Мол вышло недопонимание )

Edited 23 Oct 2025, 15:54 by domikod

[richkeeper]

Уважаемый представитель @BestChange, ваша логика крайне не ясна, как и выборочные ответы.

 

1 час назад, BestChange сказал:

Мы считаем, что многолетний опыт работы без значительных инцидентов говорит о том, что процессы, обеспечивающие безопасность, налажены должным образом.

 

Я принимаю вашу позицию. 

По вашему мнению - если скрипт популярный, значит он безопасный.

Хотя я лично не соглашаюсь с этим утверждением и вряд ли хоть один специалист или эксперт будет с вами солидарен.

Вы рекомендуете PremiumExchanger, разработчиком которого являюсь я. 

 

Естественно, следуя вашей логике, я обратился с целью не делать аудит безопасности на новом скрипте. Ведь я, по вашей логике, популярный и рекомендованный разработчик, а значит мои разработки абсолютно безопасны. Это не моё утверждение, а ваша логика.

 

Вы мне отказали, ссылаясь на внутренний регламент и невозможность прочитать файлы в PDF формате, несмотря на то что я могу доказать своё авторство и имею доказательную базу. 

 

Я принял этот факт.

Идём дальше. Вы просите сделать аудит безопасности. Аудит безопасности всегда выдаётся в формате PDF. Но вы его не можете прочитать...

С какой целью вы его требуете?

 

Получается, вы отказываетесь принимать доказательства того, что я разработчик и требуете пройти аудит, который не будете принимать.

Это сговор? или некомпетентность? или предвзятость?

 

 

1 час назад, BestChange сказал:

По этой причине нам пришлось попросить у Вас аудит, после чего Вы резко изменили свою позицию на ту, что изложили выше.

 

Не стоит, пожалуйста, подменять понятия. Я никогда не отказывался от аудита, но как здравомыслящий человек, совершил попытку договорится без него изначально.

 

1 час назад, BestChange сказал:

В переписке мы сообщили Вам, что нам сложно судить о том, с чем связано расхождение в Ваших и наших данных, и порекомендовали Вам сделать дополнительный запрос в 7Senses с учётом полученной от нас информации, чтобы прояснить ситуацию.

Я доказал свои слова, вы до сих пор не смогли этого сделать. Только обвиняете меня в подделке ответа. Увы.

 

1 час назад, BestChange сказал:

18.10.25г. мы направили Вам ответ о том, что приступили к анализу информации по указанной Вами организации. 21.10 Вы опубликовали пост, в котором написали, что ждёте ответа больше недели.

 

Не 18.10, а 15.10 я задал вопрос. 18.10 вы сообщили, что еще размышляете. Зачем же вы постоянно обманываете?
Согласен. Приношу извинения, был не прав. Ошибся на один день или два.

 

1 час назад, BestChange сказал:

Также напоминаем, что BestChange – это частный проект, сотрудничество с которым является добровольным.

 

Да, как вы доказали на форуме своими ответами, это частный проект, который вводит в заблуждение своих пользователей.

Не соглашается принимать факты, выгораживая мошенников.

Требует информацию, в которой ничего не понимает.

А также рекомендует небезопасных разработчиков, которые просто выгодны и популярны. 

 

Я как честный и порядочный человек, задумаюсь над тем, стоит ли иметь партнёрские отношения с такими людьми. 

 

Мне очень жаль, что ваш проект превратился в СКАМ. А ведь когда-то, @BestChange можно было доверять действительно. Жаль, что это время прошло.


 

Edited 23 Oct 2025, 16:24 by richkeeper

[StratosChange]

@BestChange Почему Вы на наш вопрос не ответили?
 

[BestChange]

21 час назад, StratosChange сказал:

Подскажите пожалуйста, а как обменный пункт прошел листинг на ПО от разработчиков https://uiexchanger.com/
https://bitrocket.top/ https://www.bestchange.ru/bitrocket-exchanger.html
По информации из источников,  разработчики не проходили аудиты и обменник был добавлен в листинг мониторинга.

Как мы писали выше, каждая ситуация рассматривается индивидуально.

bitrocket.top работает на ПО, разработанном специально для этого обменного пункта, по этому был запрошен аудит непосредственно у самого обменного пункта.

12 часов назад, StratosChange сказал:

@BestChange Почему Вы на наш вопрос не ответили?

В мониторинг ежедневно поступают тысячи запросов по разным каналам, и данное обсуждение, хотя и является очень важным, не может быть приоритетным. Поэтому ответы от нас поступают с небольшими задержками, надеемся на понимание.

[StratosChange]

@BestChange   
Правильно мы понимаем, что люди создали разработку обменников и сайт для разработки  1-го обменника?
 

[BestChange]

@domikod @richkeeper , добрый день.
 

Мы внимательно ознакомились со всеми комментариями и считаем необходимым ещё раз обозначить позицию администрации BestChange по данному вопросу.
 

Аудит безопасности — это не формальность и не чья-то коммерческая инициатива. Это часть нашей внутренней политики, направленной на защиту пользователей и сохранение доверия к площадке. Мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности. Проверка необходима для митигирования рисков, возникающих при работе обменного пункта.
 

SevenSenses — лишь одна из компаний, с которой мы давно работаем и ценим их профессионализм. При этом аудит можно пройти и у других специалистов в области ИБ, если у них есть нужная квалификация. Решения о листинге принимаются исключительно по результатам проверки и соответствию требованиям безопасности, а не по личным предпочтениям.
 

Мы видим, что в обсуждении активно участвуют представители сервисов, которые сами работают на рынке обменников и продвигают собственные решения. Это объясняет их повышенный интерес к нашим критериям отбора — ведь они не всегда совпадают с их коммерческими целями. Мы с уважением относимся к любой конкуренции, но важно понимать, что предъявляемые нам претензии связаны не с объективными нарушениями, а с тем, что наши принципы независимой оценки и безопасности не полностью соответствуют ожиданиям тех, кто продвигает свои продукты. Попытки представить это как “сговор” или “барьер” не имеют под собой оснований: речь идёт исключительно о прозрачных стандартах и ответственности перед пользователями.
 

Все обменные пункты и разработчики проходят одинаковые процедуры проверки. Разница лишь в том, что у старых, давно работающих решений безопасность подтверждена временем и отсутствием инцидентов, а у новых движков и обменников такая история пока просто не накопилась — именно поэтому аудит обязателен.
 

BestChange — это частный проект. Сотрудничество с нами добровольное и предполагает соблюдение общих правил, направленных на повышение безопасности и регулярно обновляемых на основе практического опыта. Мы открыты к диалогу, но не участвуем в провокациях и не будем комментировать догадки и домыслы. Кроме того, наша практика показывает, что если запрос на сотрудничество сопровождается:
– настойчивыми требованиями ускоренного рассмотрения;
– агрессивными публикациями;
– попытками дискредитировать конкурентов или партнёров;
– негативной реакцией на наши уточнения и рекомендации;
– попытками манипуляции, давления или эмоционального воздействия, — это, как правило, свидетельствует либо о значительных проблемах продукта, либо о недобросовестных намерениях со стороны заявителя.
 

На этом вопрос считаем закрытым. Все необходимые пояснения даны. Мы продолжаем развивать площадку, укреплять стандарты безопасности и работать с теми, кто разделяет наш подход к ответственности и качеству.

[richkeeper]

Уважаемый представитель @BestChange, спасибо за ответы, но:

 

9 минут назад, BestChange сказал:

Аудит безопасности — это не формальность и не чья-то коммерческая инициатива. Это часть нашей внутренней политики, направленной на защиту пользователей и сохранение доверия к площадке. Мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности. Проверка необходима для митигирования рисков, возникающих при работе обменного пункта.

 

Как вы указывали ранее, вы информационная площадка. Чтобы проверить аудит безопасности, необходимо обладать знаниями и как минимум разбираться в аудитах. Как мы видим, вы путаете фразы - аудит безопасности, аудит информационной безопасности и прочее, что вообще не подтверждает вашу квалификацию в этом вопросе.

 

А ваше утверждение "Если на скрипте много обменников и у него нет проверки безопасности, мы его считаем безопасным" вообще доказывает лишь полное отсутствие как технических знаний, так и логики. Что собственно и приводит к вопросу, зачем и с какой целью вы требуете аудиты?

 

Особо отмечу ваше нежелание принимать PDF, в котором обычно предоставляется отчёт.

 

Это говорит о том, что вы требуете отчёт, только с целью выманить деньги и на этом заработать. Это признаки СКАМА. 

 

16 минут назад, BestChange сказал:

SevenSenses — лишь одна из компаний, с которой мы давно работаем и ценим их профессионализм.

 

Несмотря на то что я обратился к ним, они ответили что у них нет ни сертификатов ни лицензии, а компания работает всего 3 года на рынке. Вы продолжаете защищать партнеров и придумывать что у них большая практика и вы им верите.

 

Подтвердите свои слова, приложите скрины их сертификатов.

 

Если вы утверждаете, что они у них есть и вы им верите, вам ничего не будет стоить доказать, что ваши слова не ложь.

 

18 минут назад, BestChange сказал:

BestChange — это частный проект.

 

Да. Вы частный проект, который вводит свою аудиторию в заблуждение как минимум в двух вещах указанных мною выше.

 

А раз вы это делаете в этих вполне очевидных вещах, скорее всего, обман происходит и в других местах.

 

 

[domikod]

4 часа назад, BestChange сказал:

@domikod @richkeeper , добрый день.
 

Мы внимательно ознакомились со всеми комментариями и считаем необходимым ещё раз обозначить позицию администрации BestChange по данному вопросу.
 

Аудит безопасности — это не формальность и не чья-то коммерческая инициатива. Это часть нашей внутренней политики, направленной на защиту пользователей и сохранение доверия к площадке. Мы включаем в листинг сервисы, имеющие достаточно высокий уровень информационной безопасности. Проверка необходима для митигирования рисков, возникающих при работе обменного пункта.
 

SevenSenses — лишь одна из компаний, с которой мы давно работаем и ценим их профессионализм. При этом аудит можно пройти и у других специалистов в области ИБ, если у них есть нужная квалификация. Решения о листинге принимаются исключительно по результатам проверки и соответствию требованиям безопасности, а не по личным предпочтениям.
 

Мы видим, что в обсуждении активно участвуют представители сервисов, которые сами работают на рынке обменников и продвигают собственные решения. Это объясняет их повышенный интерес к нашим критериям отбора — ведь они не всегда совпадают с их коммерческими целями. Мы с уважением относимся к любой конкуренции, но важно понимать, что предъявляемые нам претензии связаны не с объективными нарушениями, а с тем, что наши принципы независимой оценки и безопасности не полностью соответствуют ожиданиям тех, кто продвигает свои продукты. Попытки представить это как “сговор” или “барьер” не имеют под собой оснований: речь идёт исключительно о прозрачных стандартах и ответственности перед пользователями.
 

Все обменные пункты и разработчики проходят одинаковые процедуры проверки. Разница лишь в том, что у старых, давно работающих решений безопасность подтверждена временем и отсутствием инцидентов, а у новых движков и обменников такая история пока просто не накопилась — именно поэтому аудит обязателен.
 

BestChange — это частный проект. Сотрудничество с нами добровольное и предполагает соблюдение общих правил, направленных на повышение безопасности и регулярно обновляемых на основе практического опыта. Мы открыты к диалогу, но не участвуем в провокациях и не будем комментировать догадки и домыслы. Кроме того, наша практика показывает, что если запрос на сотрудничество сопровождается:
– настойчивыми требованиями ускоренного рассмотрения;
– агрессивными публикациями;
– попытками дискредитировать конкурентов или партнёров;
– негативной реакцией на наши уточнения и рекомендации;
– попытками манипуляции, давления или эмоционального воздействия, — это, как правило, свидетельствует либо о значительных проблемах продукта, либо о недобросовестных намерениях со стороны заявителя.
 

На этом вопрос считаем закрытым. Все необходимые пояснения даны. Мы продолжаем развивать площадку, укреплять стандарты безопасности и работать с теми, кто разделяет наш подход к ответственности и качеству.

 

Уважаемый @BestChange - ТЕМА НЕ ЗАКРЫТА и закроем мы её только тогда когда общество посчитает нужным! Также я бы настоятельно рекомендовал вам не вешать публично лапшу по ушам! Так как форум смотрят многие. Могут случайно заметить и СМИ!

 

О какой многолетней работе с SevenSenses вы говорите? Сайт работает с 2023 года! Может вы забыли посмотреть Webarchive. Напоминаю что здесь: https://web.archive.org/web/20231205182926/https://7senses.io/ еще два года назад была совсем другая информация. Это не компания из Гонконга, а ребята из РФ. Может это хорошие талантливые ребята я не спорю, но о об этой компании никто кроме вас @BestChange не знает!!! О чем это говорит? Также есть официальные отписки от SevenSenses что они не имеют сертификатов на аудит! Также мы связались с крупной аудит компанией в которой работают специалисты высшей квалификации и которые имеют сертификаты: BSI,CISSP,PECB,ISA,CISA,OSCP,C|EH. При надобности мы может их пригласить сюда и обсудить все интересующие нас вопросы. Я бы на вашем месте @BestChange убрал бы давно SevenSenses с вашего сайта.

5 часов назад, richkeeper сказал:

 

Несмотря на то что я обратился к ним, они ответили что у них нет ни сертификатов ни лицензии, а компания работает всего 3 года на рынке.

 

Не три, а реально 2 года )

[Deponat]

В 24.10.2025 в 12:15, StratosChange сказал:

@BestChange   
Правильно мы понимаем, что люди создали разработку обменников и сайт для разработки  1-го обменника?
 

 

Скорее всего это просто купленный скрипт у UIExchanger. 

Edited 1 Nov 2025, 14:17 by Helber

[domikod]

В 27.10.2025 в 19:46, Deponat сказал:

От модератора: этот акк - клон domikod

Скорее всего это просто купленный скрипт у UIExchanger. 

 

Уважаемые модераторы не стоит от себя добавлять то что мы не писали. Мы всегда готовы к сотрудничеству и любым пруфам.

[Deponat]

Для мониторингов обменников или агрегаторов, которые хотят убедиться, что подключаемые к ним партнёры безопасны – мы можем разработать для вас программу стандартизации требований безопасности. И, конечно, услуга актуальна тем, кто хочет получить сертификаты ISO 27001, PCI DSS, пройти аудит ASVS и т.д.

[Deponat]

Мониторингам обменников @BestChange @ExchangeSumo @kursexpert ... и пользователям на заметку!

 

Нами сформирована база обменных пунктов, включающая комплексный анализ по ключевым параметрам: актуальность данных, техническое состояние сервисов, выявленные ошибки, уязвимости и особенности работы.

 

В целях повышения качества и безопасности обменных сервисов база будет регулярно обновляться, дополняться и совершенствоваться.

На текущем этапе проект реализован в Lite-формате, однако уже сейчас он наглядно демонстрирует принципы работы обменных пунктов и позволяет получить объективное представление о состоянии обменных сервисов в сети.