SOC 2 Type II 报告

1. 监管框架

SOC 2(服务机构控制 2)是 AICPA 用于评估服务机构安全与可用性控制的框架。 Type II 意味着审计师在一段时间内评估了这些控制的运行有效性 — 就我们而言为 12 个月 — 而非仅评估其设计。

五项信任服务准则:安全、可用性、处理完整性、保密性与隐私。我们对全部五项进行评估。

2. 评估范围

Schellman 评估了:

• 托管系统(热钱包、冷存储签名基础设施、多签流程)
• 身份与访问管理(员工账户、客户 KYC、强制 MFA)
• 网络基础设施(边界、网段隔离、入侵检测)
• 应用安全(代码审查、密钥管理、部署流水线)
• 运营实践(事件响应、值班轮岗、变更管理)
• 数据处理(静态与传输加密、数据保留、删除)
• 供应商管理(第三方风险评估、持续监控)

3. 审计师意见

「我们认为,在所有重大方面,bitexasia 的控制在 2025-02-01 至 2026-01-31 期间均经过恰当的设计,可在安全、可用性、处理完整性、保密性与隐私的信任服务准则下,为达成服务承诺与系统要求提供合理保证。我们进一步认为,这些控制在该期间内有效运行。」

这是一份 无保留意见 — SOC 2 用语,意为「无重大例外」。管理层回应章节记录了三项轻微观察。

4. 观察与管理层回应

观察 1:季度访问审查

发现: 4 次季度用户访问审查中,2 次在政策定义的 30 天窗口内完成。其余 2 次分别耗时 34 天与 41 天。

管理层回应: 2025 年第四季度构建的自动化将平均审查时间从 32 天降至 11 天。后续审查均在窗口内完成。

观察 2:渗透测试周期

发现: 原定第三季度末的渗透测试因供应商产能调整至第四季度中,超出了 90 天的政策间隔。

管理层回应: 我们已在 2026 年周期中实现供应商多元化并提前排期。2025 年第四季度测试已完成;报告(Trail of Bits)载于 审计存档.

观察 3:BCP 测试范围

发现: 年度业务连续性测试演练了撮合引擎,但未演练提现通道的故障切换场景。

管理层回应: 2026 年第一季度 BCP 测试纳入了提现通道故障切换;通过。年度 BCP 测试范围已按政策扩展。

5. 可用性

审计期间内测量的服务级别指标:

• 撮合引擎可用性: 99.992% (目标:99.95%)
• 公开 REST API 可用性: 99.992% (目标:99.9%)
• WebSocket 数据流可用性: 99.987% (目标:99.9%)
• 提现通道可用性: 99.91% (目标:99.5%)

所有可用性目标均达到或超出。实时与历史 SLA 指标在以下页面公开追踪: 状态页面.

6. 完整报告与联系方式

SOC 2 Type II 完整报告(约 95 页,包括详细的控制描述与测试结果)可在 NDA 下提供给企业客户、监管机构与合格的机构合作伙伴。请通过 audits@bitexasia.com 提交,并注明公司名称与用途;5 个工作日内回复。