SOC 2 Type II 報告

1. 監管框架

SOC 2(服務機構控制 2)是 AICPA 用於評估服務機構安全與可用性控制的框架。 Type II 意味着審計師在一段時間內評估了這些控制的運行有效性 — 就我們而言為 12 個月 — 而非僅評估其設計。

五項信任服務準則:安全、可用性、處理完整性、保密性與隱私。我們對全部五項進行評估。

2. 評估範圍

Schellman 評估了:

• 託管系統(熱錢包、冷存儲簽名基礎設施、多籤流程)
• 身份與訪問管理(員工帳戶、客戶 KYC、強制 MFA)
• 網絡基礎設施(邊界、網段隔離、入侵檢測)
• 應用安全(代碼審查、密鑰管理、部署流水線)
• 營運實踐(事件響應、值班輪崗、變更管理)
• 數據處理(靜態與傳輸加密、數據保留、刪除)
• 供應商管理(第三方風險評估、持續監控)

3. 審計師意見

「我們認為,在所有重大方面,bitexasia 的控制在 2025-02-01 至 2026-01-31 期間均經過恰當的設計,可在安全、可用性、處理完整性、保密性與隱私的信任服務準則下,為達成服務承諾與系統要求提供合理保證。我們進一步認為,這些控制在該期間內有效運行。」

這是一份 無保留意見 — SOC 2 用語,意為「無重大例外」。管理層回應章節記錄了三項輕微觀察。

4. 觀察與管理層回應

觀察 1:季度訪問審查

發現: 4 次季度用戶訪問審查中,2 次在政策定義的 30 天窗口內完成。其餘 2 次分別耗時 34 天與 41 天。

管理層回應: 2025 年第四季度構建的自動化將平均審查時間從 32 天降至 11 天。後續審查均在窗口內完成。

觀察 2:滲透測試週期

發現: 原定第三季度末的滲透測試因供應商產能調整至第四季度中,超出了 90 天的政策間隔。

管理層回應: 我們已在 2026 年週期中實現供應商多元化並提前排期。2025 年第四季度測試已完成;報告(Trail of Bits)載於 審計存檔.

觀察 3:BCP 測試範圍

發現: 年度業務連續性測試演練了撮合引擎,但未演練提現通道的故障切換場景。

管理層回應: 2026 年第一季度 BCP 測試納入了提現通道故障切換;通過。年度 BCP 測試範圍已按政策擴展。

5. 可用性

審計期間內測量的服務級別指標:

• 撮合引擎可用性: 99.992% (目標:99.95%)
• 公開 REST API 可用性: 99.992% (目標:99.9%)
• WebSocket 數據流可用性: 99.987% (目標:99.9%)
• 提現通道可用性: 99.91% (目標:99.5%)

所有可用性目標均達到或超出。即時與歷史 SLA 指標在以下頁面公開追蹤: 狀態頁面.

6. 完整報告與聯繫方式

SOC 2 Type II 完整報告(約 95 頁,包括詳細的控制描述與測試結果)可在 NDA 下提供給企業客戶、監管機構與合格的機構合作夥伴。請通過 audits@bitexasia.com 提交,並註明公司名稱與用途;5 個工作日內回覆。