Прозрачность

Как это реально работает.

Подробности об архитектуре, данных, политике отметок. Если вам важно, «без логов» — это слоган или описание, эта страница для вас.

Стек: PHP 8.2 · nginx · Хранилище: плоский JSON + лог администратора · TTL логов: 24h
Установленные cookie
1 Только сессия CSRF
Сторонние трекеры
0 Нет. Ноль. Никогда.
Ротация логов
24h доступ nginx
Хранение заказов
При расчёте 30 дней в худшем случае
Архитектура

Тонкий фронтенд поверх слой маршрутизации

SwapNoKYC — фронтенд на PHP 8.2 поверх стороннего агрегатора ликвидности. Нет базы данных пользователей. Временное состояние ордера хранится как плоские JSON-файлы на файловой системе, а минимальный лог администратора записывает события жизненного цикла ордера для операций.

Единственное постоянное хранилище помимо этого — кеш на диске для котировок (TTL 60 секунд) и списка валют (TTL 5 минут).

Каждый заказ — это capability: идентификатор заказа плюс токен, возвращённый бэкендом. Вы держите URL со встроенными данными; мы держим соответствующий депозитный адрес и временную метку. Больше ничего.

Нет сторонней аналитики. Нет снятия отпечатков. Нет постоянного идентификатора пользователя. Вышестоящий роутер видит минимум метаданных обмена, необходимых для исполнения — и ничто никогда не коррелирует вас между сессиями.

Инвентаризация данных

Что мы record

Все поля, к которым мы прикасаемся, перечислены. Никаких скрытых корзин.

Сессионная cookie CSRF

Случайная cookie nsw на время сессии браузера. Используется только для защиты API создания заказов. Никаких идентификаторов внутри.

Запись заказа

Пара, сумма, депозитный адрес, адрес выплаты, тип (плавающий/фиксированный), метка времени создания. Удаляется при расчёте (или не позднее 30 дней).

Счётчики защиты от злоупотреблений

Счётчики ограничения частоты по IP, сбрасываются каждую минуту. Никогда не связаны с персональными данными.

Логи доступа Nginx

Метод, путь, статус, user-agent. Ротация каждые 24 часа.

Что мы never record

Имя, email, телефон, ID, дата рождения, гражданство

Любой сторонний тег аналитики (ни GA, ни Hotjar, ни Segment, ни Meta Pixel)

Трекинговые cookie помимо сессионного токена CSRF

Долгосрочные логи IP (ротация < 24 ч)

Отпечатки устройства или браузера

Любой коррелирующий идентификатор между сессиями

Отметки

Что происходит, когда заказ отмечен

1

Заказ переходит в состояние Emergency

Поставщик сверяет депозитные адреса со списками санкций и каналами незаконных потоков. При совпадении страница заказа показывает экстренные действия.

2

Два варианта, оба под вашим контролем

Возврат на указанный вами адрес (без вопросов) или согласие с текущим рыночным курсом и продолжение. Выбор за вами. Третьего скрытого варианта нет.

3

Никогда не требуется идентификация

Мы не запрашиваем документы на этом этапе. Никогда. Если оба действия отклонены, депозит возвращается на адрес отправителя, видимый в блокчейне.

Третьи стороны

Каждый внешний сервис мы называем

CDN / TLS (сеть доставки)

Cloudflare

Обслуживает статические ресурсы. TLS терминируется на Cloudflare; мы получаем реальный IP клиента через CF-Connecting-IP только для ограничения частоты запросов.

Веб-шрифты

fonts.bunny.net

Inter и JetBrains Mono. Зеркало Google Fonts с защитой приватности, не логирующее IP.

Поставщик ликвидности

ChangeNOW

Получает метаданные запроса обмена, необходимые для исполнения: пара, сумма, назначение, опциональный адрес возврата.

Позиция по безопасности

Усиление защиты с первого взгляда

  • Только HTTPS с конфигурацией, готовой к предзагрузке HSTS.
  • Строгая Content-Security-Policy; никаких встроенных скриптов помимо JSON-полезных нагрузок.
  • X-Frame-Options SAMEORIGIN · X-Content-Type-Options nosniff · строгая Referrer-Policy.
  • Permissions-Policy ограничивает geolocation, microphone, camera, payment значением «none».
  • CSRF-токены на всех API-эндпоинтах, меняющих состояние.
  • Вся чувствительная конфигурация (API-ключи, материалы для подписи) находится вне корня веб-сервера.

Отчёты о безопасности: [email protected]. См. также security.txt и полную политику раскрытия.

Просто самостоятельное хранение, честно описано.