Kartenguthaben liegen bei einem nach PCI DSS Level 1 regulierten Emittenten in separaten Konten. Jede Autorisierung durchläuft 3-D Secure. Echtzeit-Betrugsüberwachung läuft durchgehend. Und wir fragen niemals nach KYC — Ihre Ausgaben, gesichert durch die Kontrollen einer erstklassigen Bank, ohne die Bank.
Jede Autorisierung durchläuft sechs unabhängige Prüfungen. Jeder einzelne Fehler lehnt die Transaktion ab — keine Ausnahmen, keine Fallbacks.
Visa Business und Visa Gold durchlaufen native vollständige 3-D-Secure-Authentifizierung. Jede Autorisierung wird In-App geprüft — Face ID, Touch ID, Push-Benachrichtigung oder Einmalcode. Keine CNP-Betrugsangriffsfläche, kein Fallback auf statischen CVV.
Velocity-Regeln, Geofencing, Händlerkategorie-Kontrollen, Gerätefingerabdruck. Jede Ablehnung trägt einen strukturierten Ablehnungscode, damit Sie genau wissen, was zu beheben ist — niemals ein stiller Fehler.
Mittel liegen beim Emittenten in Ihrem Konto, getrennt vom Betriebskapital. Selbst im Worst-Case-Szenario, in dem Cryptocardium den Betrieb einstellt, gehört Ihr Guthaben Ihnen — der Emittent ist der Verwahrer.
Kartenindividuelle Ausgabenlimits, MCC-Allowlists, Händler-Denylisten, Geo-Sperren — pro Karte festgelegt, mit einem API-Aufruf änderbar. Beschränken Sie eine Karte auf aws.amazon.com bei $500/Monat, und nichts anderes kann sie belasten.
Ein API-Aufruf (oder ein Klick im Panel) sperrt die Karte sofort — ausstehende Autorisierungen werden innerhalb von 200 ms abgelehnt. Die Neuausgabe erstellt eine neue PAN, die für Apple Pay und Google Pay bereitgestellt wird, bevor die alte abläuft.
Jedes Lebenszyklus-Ereignis wird mit einer HMAC-SHA256-Signatur und einer pro-Ereignis eindeutigen ID zugestellt. Replay-geschützt, deduplizierbar, in drei Zeilen in jeder Sprache verifizierbar — kein Risiko, dass ein gefälschtes Ereignis Ihr Backend erreicht.
Was Sie direkt über das Panel steuern — unabhängig von unseren serverseitigen Maßnahmen.
Bei jedem Konto mit bcrypt bei Kostenfaktor 12 gehasht. Der Klartext berührt niemals den Datenträger und verlässt niemals den Request-Lifecycle. Jederzeit änderbar unter Sicherheit → Passwort ändern.
Standard RFC 6238 TOTP — funktioniert mit Google Authenticator, Authy, 1Password, Bitwarden und jeder TOTP-kompatiblen App. 10 Einmal-Backup-Codes für die Wiederherstellung, jederzeit neu generierbar.
Jeder API-Schlüssel wird bei der Erstellung einmalig angezeigt und nur als sha256-Hash gespeichert. Der Widerruf ist sofort wirksam — alte Schlüssel authentifizieren sich nicht mehr, sobald Sie auf Widerrufen klicken. Die Aktivität pro Schlüssel wird auditiert.
Jedes Authentifizierungsereignis wird mit Zeitstempel, IP und Ergebnis protokolliert. Einsehbar unter Aktivität → Konto-Ereignisse. Fehlgeschlagene Versuche lösen automatisches Rate-Limiting aus (5 Versuche pro 15 Min. pro IP).
Sitzungs-Bearer laufen nach 30 Tagen Inaktivität ab. Die Abmeldung von einem Gerät widerruft die Sitzung überall; die Anmeldung invalidiert ältere Sitzungen, wenn der Einzelgerät-Modus aktiviert ist.
Ausgabenlimits (Transaktion / täglich / monatlich), MCC-Allowlists (z. B. nur SaaS-Händler), Länder-Geo-Sperren und ein Sperr-Schalter — alle pro Karte programmierbar, keine Abkühlzeit zwischen Änderungen.
Keine Identitätsprüfung, kein Dokument-Upload, kein Selfie. Das Kartenprogramm läuft unter unserem Compliance-Dach — Ihre Privatsphäre ist der Standard, kein Enterprise-Upgrade.
Das Kartenprogramm wird von einem lizenzierten BIN-Emittenten in einer erstklassigen Jurisdiktion gesponsert. Cryptocardium ist die Technologieschicht; die Karte selbst läuft auf regulierten Rails.
Der Emissionspartner ist PCI DSS Level 1 zertifiziert und wird jährlich auditiert. Keine Karteninhaber-PAN berührt die Cryptocardium-Infrastruktur unverschlüsselt.
Cryptocardiums operative Kontrollen sind SOC 2 Typ II auditiert. Kontinuierliche Überwachung, Change Management, Anbieter-Reviews.
Der gesamte Datenverkehr erfolgt über TLS 1.3 mit Forward Secrecy. Ältere Protokolle werden abgelehnt. HSTS überall auf cryptocardium.com vorgeladen.
Multi-Region Active-Active. Der Karten-Autorisierungspfad ist über drei Rechenzentren repliziert. Median-Autorisierungslatenz: 47 ms.
Cryptocardium betreibt ein Bug-Bounty-Programm. Über unseren koordinierten Disclosure-Kanal melden und wir triagieren innerhalb von 24 Stunden.
Support-Ticket öffnen, mit security markieren — wir leiten direkt an das Sicherheitsteam weiter.
Registrieren, mit Krypto aufladen, Karte ausgeben. Sechs Verteidigungsschichten, null KYC-Fragen.
Everything people actually ask. Last updated .
Ja. Jede Autorisierung wird durch 3-D Secure geprüft, typischerweise als In-App-Bestätigung. Es gibt keinen Fallback auf statische CVV. Die CNP-Betrugsangriffsfläche ist dadurch auf nahezu null reduziert.
Kartenguthaben werden von Cryptocardiums lizenziertem Kartenemissionspartner in separaten Konten gehalten, die vom Betriebskapital getrennt sind. Der Emittent ist PCI DSS Level 1 und BIN-Sponsor-reguliert. Mittel werden nicht mit Cryptocardiums eigener Bilanz vermischt.
Passwörter werden mit bcrypt bei Work-Faktor 12 (~250 Millisekunden pro Hash) gehasht. Klartextpasswörter werden niemals gespeichert, niemals protokolliert und sind für Mitarbeiter niemals sichtbar. Passwort-Resets verwenden Einmal-Tokens mit einer Gültigkeit von dreißig Minuten.
Ja. TOTP (RFC 6238) wird mit jedem Standard-Authenticator unterstützt: Google Authenticator, Authy, 1Password, Bitwarden, Aegis. Codes rotieren alle dreißig Sekunden. Die Deaktivierung von 2FA erfordert das aktuelle Passwort plus einen gültigen Code.
Ja. Jedes Webhook-Ereignis wird mit HMAC-SHA256 unter Verwendung eines abonnementspezifischen Secrets signiert. Idempotenz-Keys sind enthalten, damit Empfänger Replays sicher deduplizieren können. Signing-Keys können ohne Ausfallzeit auf Anfrage rotiert werden.
Ja. Jede Karte unterstützt eine programmierbare MCC-Allowlist und Denyliste (Händlerkategoriecodes), Geo-Sperren auf bestimmte Länder sowie Transaktions-, Tages- und Monatslimits. Alle Einstellungen sind mit einem einzigen API-Aufruf änderbar.
Die Schaltfläche „Sperren" im Panel drücken oder POST /v1/cards/{id}/freeze (REST) bzw. freeze_card (MCP) aufrufen. Die Sperrung erfolgt sofort; nachfolgende Autorisierungen werden innerhalb von 200 ms auf Netzwerkebene abgelehnt. Die Entsperrung verläuft symmetrisch.
Das koordinierte Vulnerability-Disclosure-Verfahren ist unter https://cryptocardium.com/.well-known/security.txt (RFC 9116) dokumentiert. Meldungen werden über das authentifizierte Ticket-System unter /contact eingereicht und qualifizieren sich für das auf dieser Seite beschriebene Bug-Bounty-Programm.
