SOC 2 Type II 报告

1. 监管框架

SOC 2(服務机構控制 2)是 AICPA 用于評估服務机構安全与可用性控制的框架。 Type II 意味着審計师在一段時间内評估了这些控制的运行有效性 — 就我们而言為 12 个月 — 而非仅評估其设计。

五项信任服務准则:安全、可用性、處理完整性、保密性与隱私。我们對全部五项进行評估。

2. 評估范围

Schellman 評估了:

• 托管系统(热钱包、冷存储签名基礎设施、多签流程)
• 身份与访问管理(員工帳戶、客戶 KYC、强制 MFA)
• 網絡基礎设施(边界、网段隔离、入侵检測)
• 應用安全(代碼审查、密钥管理、部署流水線)
• 运营實践(事件响應、值班轮岗、变更管理)
• 數據處理(静態与傳输加密、數據保留、删除)
• 供應商管理(第三方風險評估、持續监控)

3. 審計师意見

「我们认為,在所有重大方面,bitexasia 的控制在 2025-02-01 至 2026-01-31 期间均经过恰当的设计,可在安全、可用性、處理完整性、保密性与隱私的信任服務准则下,為达成服務承诺与系统要求提供合理保证。我们进一步认為,这些控制在该期间内有效运行。」

这是一份 无保留意見 — SOC 2 用语,意為「无重大例外」。管理层回應章节记录了三项轻微观察。

4. 观察与管理层回應

观察 1:季度访问审查

发现: 4 次季度用戶访问审查中,2 次在政策定義的 30 天窗口内完成。其余 2 次分别耗時 34 天与 41 天。

管理层回應: 2025 年第四季度構建的自动化将平均审查時间从 32 天降至 11 天。后續审查均在窗口内完成。

观察 2:渗透測試周期

发现: 原定第三季度末的渗透測試因供應商产能调整至第四季度中,超出了 90 天的政策间隔。

管理层回應: 我们已在 2026 年周期中實现供應商多元化并提前排期。2025 年第四季度測試已完成;报告(Trail of Bits)载于 審計存档.

观察 3:BCP 測試范围

发现: 年度业务连續性測試演練了撮合引擎,但未演練提现通道的故障切换场景。

管理层回應: 2026 年第一季度 BCP 測試纳入了提现通道故障切换;通过。年度 BCP 測試范围已按政策扩展。

5. 可用性

審計期间内測量的服務级别指標:

• 撮合引擎可用性: 99.992% (目標:99.95%)
• 公開 REST API 可用性: 99.992% (目標:99.9%)
• WebSocket 數據流可用性: 99.987% (目標:99.9%)
• 提现通道可用性: 99.91% (目標:99.5%)

所有可用性目標均达到或超出。即時与历史 SLA 指標在以下页面公開追踪: 狀態页面.

6. 完整报告与联系方式

SOC 2 Type II 完整报告(约 95 页,包括详细的控制描述与測試結果)可在 NDA 下提供给企业客戶、监管机構与合格的机構合作伙伴。请通过 audits@bitexasia.com 提交,并注明公司名称与用途;5 个工作日内回複。