ISO 27001, porque "confie em nós" é um mau plano de segurança

No mundo das criptomoedas, passamos muito tempo a falar sobre sistemas "sem confiança". Mas a ironia de gerir uma bolsa global é que a confiança é, na verdade, a única moeda que importa.

Podes ter a interface de utilizador mais elegante e a liquidez mais profunda do mundo, mas se a tua segurança for um arranjo de "confia em mim, amigo", estás apenas à espera de uma manchete que não queres ler.

Decidimos evitar a abordagem do "juro pela minha honra". Acabámos de completar com sucesso a nossa auditoria de certificação ISO/IEC 27001:2022, verificada pela equipa da Swiss Approval.

Para além dos chavões

Para aqueles que não passam os fins de semana a ler ficheiros PDF de conformidade, a ISO 27001:2022 é o padrão internacional para a forma como uma empresa lida com a informação. É efetivamente o "adulto na sala" dos padrões de segurança.

Enquanto a indústria em geral viu mais de 3,4 mil milhões de dólares perdidos em explorações em 2025, estivemos ocupados a apertar os parafusos do nosso Sistema de Gestão de Segurança da Informação (ISMS). A atualização de 2022 visa especificamente as realidades modernas e confusas da nossa indústria: vulnerabilidades na nuvem, privacidade de dados e inteligência de ameaças.

O que isto realmente significa

A certificação é mais do que apenas um distintivo. Representa uma análise rigorosa das nossas infraestruturas para garantir que a nossa governação de segurança está integrada nas nossas operações diárias. O nosso foco mantém-se em:

• Lógica sobre sorte: Usar supervisão baseada em risco em todas as operações técnicas.

• O poder do "não": Impor acesso de menor privilégio para que apenas as pessoas certas acedam aos dados certos.

• Preparação como padrão: Documentar ciclos de resposta a incidentes para não improvisarmos durante uma crise.

• Avaliar os vizinhos: Exigir que os nossos fornecedores terceiros cumpram os mesmos rigorosos padrões de segurança que nós.

Mas não nos ficámos por uma auditoria interna. Também colocámos os nossos sistemas sob o microscópio da CER.live, a principal plataforma de classificação de cibersegurança. Eles atribuíram à Toobit uma classificação AAA, a sua pontuação mais alta possível.

Porque é que a classificação AAA importa

A metodologia da CER.live é famosa por ser rigorosa, avaliando mais de 18 indicadores, incluindo testes de penetração, programas de recompensas por bugs e Prova de Reservas. Como os dados da CER.live informam diretamente a Pontuação de Confiança da CoinGecko, esta classificação confirma que os observadores independentes mais confiáveis da indústria concordam com a nossa postura de segurança.

Construir para o longo prazo

Este marco está ao lado da nossa pilha Bee-Safe e da nossa contínua Prova de Reservas (PoR). Faz parte de uma filosofia mais ampla: acreditamos que ser um parceiro maduro para traders de retalho e institucionais requer mais do que apenas um histórico de zero hacking. Requer uma estrutura auditável e transparente que prove que fazemos o que dizemos que estamos a fazer.

A indústria das criptomoedas está finalmente a crescer. Estamos felizes por ajudar a liderar o caminho, uma auditoria de cada vez.