Ми ніколи не питаємо пароль до бекофісу оператора.
Нам невідомий жоден інший агрегатор партнерських програм, який дав би це зобов’язання у письмовій формі. Ця сторінка — довга версія: шифрування, аудит-лог, адмін-доступ та шлях до комплаєнсу.
Оновлено: 2026-05-19
Робоча чернетка. Остаточні формулювання цієї сторінки проходять зовнішню юридичну перевірку і можуть змінитися без попередження. Технічні зобов’язання прив’язані до майлстоунів — дивись дорожню карту комплаєнсу нижче.
01
Три страхи партнера — і що ми з ними робимо.
Спочатку чесна постановка. Деталі — нижче.
Витік даних розкриє мої умови угод та історію виплат.
Чутливі поля облікових даних і виплат спроєктовані для envelope-шифрування через AWS KMS Франкфурт з ключами на кожен запис. Якщо знімок даних витече без потрібних ключів, дані не мають бути читабельними; рішення про сповіщення все одно залежить від фактів і застосовного права.
Агрегатор зберігає мій пароль до бекофісу оператора і його зламали.
Ми не запитуємо цей пароль. Де можливо, інтеграція йде через postback-URL та read-only API-ключі, тому сценарії компрометації пароля навмисно лишаються поза моделлю облікових даних BetLink.
Атакувальник зливає фонд виплат або підміняє адресу мого гаманця.
Зміна адреси виплат закрита step-up MFA та кулдауном двадцять чотири години. Кожна зміна має бути видима у твоєму аудит-лозі. Ми не відкочуємо рух коштів від твого імені без письмового запиту, який можна перевірити поза каналом.
02
Як справді влаштоване шифрування тут.
Зрозуміла зведенка; технічний бриф відстежується в пакеті комплаєнс-доказів.
- Чутливі поля облікових даних і виплат — API-ключі операторів, секрети HMAC для postback, токени платіжних рейлів, індекс KYC — спроєктовані для wrap через гібридний envelope-підхід. Передбачений корінь ключів — AWS KMS у регіоні Франкфурт (eu-central-1).
- Кожен запис несе власний data-encryption-key (DEK). DEK генерується під час запису, використовується один раз і викидається. Зашифрований DEK лежить поруч із шифротекстом; KEK не виходить з KMS.
- EncryptionContext (AAD) при кожному wrap містить workspace-id, credential-id та тег призначення. DEK, обгорнутий для одного тенанта, криптографічно не розкриється в контексті іншого. Це гарантує протокол, а не прикладний код.
- KEK ротується автоматично раз на рік. Per-record DEK не ротуються ніколи — кожен запис із першого дня живе під власним ключем, тож ротація тут — не-подія.
Supabase Vault ми використовуємо лише для власних інфраструктурних секретів. Клієнтські дані через нього не йдуть, бо майстер-ключ Vault тримає персонал Supabase. Гібридний конверт лишає майстер-корінь на нашому боці довіри.
03
Аудит-лог у реальному часі, який ти можеш читати.
Кожне розшифрування, кожна зміна credential, кожен адмін-дотик — видимі тобі, перевіряються та експортуються.
- Будь-яка значуща операція пише рядок до таблиці audit_events твого workspace: додано credential, розшифровано для відправки postback, змінено адресу виплат, видано MFA-челендж, відкрито адмін-перевірку.
- Рядки HMAC-зчеплені: кожен рядок несе MAC попереднього. Якщо щось переписати заднім числом, ланцюг ламається при наступній перевірці.
- Раз на годину голова ланцюга підписується AWS KMS і підпис закріплюється у Wasabi EU в режимі Object-Lock WORM. Якір тримається десять років. Підписаний корінь означає: навіть ми не зможемо переписати історію, не залишивши слідів.
- IP-адреси в лозі псевдонімізуються через per-tenant HMAC. При закритті акаунту тенант-ключ криптографічно знищується. Ланцюг лишається перевіряним; IP стають незв’язними. Саме це робить лог сумісним зі статтею 17 GDPR при тому, що він незмінний.
Свій аудит-лог ти бачиш наживо в /settings/audit та експортуєш як підписаний JSON. Нам невідомий інший агрегатор партнерських програм, який відкриває події розшифрування по кожному credential на бік партнера.
04
Чесний адмін-доступ. Дві лінзи, третьої немає.
Більшість платформ мовчки працюють із повною імперсонацією і називають це «підтримкою». Тут — що саме може персонал BetLink і що потрапляє у лог.
Співробітник BetLink може відкрити тихий read-only погляд на твій workspace, якщо цього вимагає фрод-розслідування, ескалація KYC або AML-кейс. У момент дії читання тихе — це вимога AML-правил tipping-off. За дев’яносто днів сесія розкривається у твоєму аудит-лозі, якщо тільки вона не прив’язана до відкритого підозрілого звіту. Сесії обмежені тридцятьма хвилинами, вимагають step-up MFA з боку оператора і прив’язані до IP-allow-list.
Повноцінна read-write сесія підтримки відкривається тільки за твоєї явної згоди через одну кнопку у workspace. Поки вона триває, ти й оператор бачите постійний банер; обидві сторони отримують лист на початку та в кінці. Сесії обмежені однією годиною та лишають per-action аудит-слід, прив’язаний до GitHub Enterprise SSO-ідентичності, а не до спільного адмін-акаунту.
Дволінзова модель найближча за духом до інженерного блогу Pigment від квітня 2026; вона навмисно суворіша за типовий SaaS «support shadow login».
05
Про що ми не запитуємо — і що роблять деякі колеги.
Порівняно з публічно задокументованою поведінкою. Агрегатори перелічені заради прозорості — імена не називаємо до юридичної перевірки сторінки порівняння.
- Паролі до бекофісу операторів. Ми працюємо через postback-URL та read-only API-ключі. Деякі колеги — включно з тими, хто публікує довідкові статті типу «Connecting an Affiliate Program (via Login Credentials)», та інструменти, що приймають CSV-завантаження облікових даних пакетом — справді про них запитують. Ми — ні.
- Коди двофакторної аутентифікації, recovery-коди або device-binding seeds для твоїх операторських акаунтів.
- Сід-фрази гаманців або повні номери платіжних карт. Виплати йдуть через ліцензованих партнерів; ми тримаємо токенізоване посилання, а не сам номер.
- Державні документи партнерів, які не запускають KYC за своєю волею. KYC прив’язаний до підняття тірів та до порогів виплат, на яких він юридично обов’язковий.
Якщо це зміниться — якщо колись майбутня функція BetLink справді потребуватиме операторського credential — ми публікуємо обґрунтування тут і в changelog ще до того, як вона виходить.
06
Стандарти автентифікації.
Що вимагаємо, що заохочуємо, від чого відмовляємось.
- MFA обов’язкова у кожному платному workspace. Step-up при зміні адреси виплат, додаванні ключів і згоді на адмін-сесію.
- TOTP підтримуємо вже сьогодні. WebAuthn / passkey в апстримі — у беті; ми перемкнемо дефолт на passkey-preferred, щойно провайдер автентифікації переведе його в General Availability.
- SMS як другий фактор — тверде ні. SIM-swap-атаки — задокументований і повторюваний вектор у цій індустрії; ми не будемо продавати SMS як безпеку.
- Enterprise SAML і SCIM через WorkOS приходять у третьому кварталі 2026.
07
Дорожня карта комплаєнсу — під запис.
Дати, за якими нас вимірюватимуть.
- Серпень 2026
Ціль: старт Drata, паралельний збір доказової бази під SOC 2 Type 1 та ISO 27001 Stage 1, залучення аудитора.
- Q1 2027
Ціль: звіт SOC 2 Type 1, ISO 27001 Stage 1 review і зовнішній пентест.
- Серпень 2027
Ціль: звіт SOC 2 Type 2 і сертифікація ISO 27001 для платформи BetLink.
Якщо дата зсунеться — зсув з’явиться тут у день, коли він стане відомим. Краще ми посунемо дату, ніж тихо її переозначимо.
08
Людина по той бік цієї сторінки.
Засновник один. Ось адреса, за якою йому можна вручити документи.
Jonathan Luis
Засновник, BetLink
BetLink Group Holdings Ltd — Лімасол, Кіпр
Зовнішня юридична підтримка: Harris-Kyriakides LLC, Ларнака, Кіпр.
BetLink не ховається за загальним «team@». Регулятор, інвестор чи розлючений партнер знайде за іменем конкретну людину та зареєстровану кіпрську компанію. Юридична фірма названа. Кіпрська юрисдикція названа. Офшорна ре-доміциляція не планується.
09
Bug Bounty.
Наприкінці 2026 року ми піднімаємо приватну програму Bug Bounty на Intigriti. Скоуп і вилки винагород опублікуємо тут до запуску.
- До цього — пиши на security@betlink.ai. Відповідаємо протягом одного робочого дня і не переслідуємо юридично добросовісне дослідження.
- Скоуп і канонічна політика безпеки лежать у /security-policy.txt у форматі RFC 9116.
- Публічна Hall of Fame стартує разом із програмою на Intigriti.