Los saldos de tarjeta residen en un emisor regulado de PCI DSS Nivel 1, en cuentas segregadas. Cada autorización pasa por 3-D Secure. La monitorización antifraude funciona en tiempo real. Y nunca pedimos KYC — tu gasto, blindado con los controles que usa un banco de primer nivel, sin el banco.
Cada autorización pasa por seis verificaciones independientes. Cualquier fallo único rechaza la transacción — sin excepciones, sin alternativas.
Visa Business y Visa Gold superan la autenticación 3-D Secure completa de forma nativa. Cada autorización se desafía en la app — Face ID, Touch ID, notificación push o código de un solo uso. Sin superficie de fraude CNP, sin alternativa al CVV estático.
Reglas de velocidad, geofencing, controles de categoría de comercio, huella digital del dispositivo. Cada rechazo lleva un código de motivo estructurado para que sepas exactamente qué corregir — nunca un fallo silencioso.
Los fondos residen en el emisor en tu cuenta, aislados del capital operativo. Incluso en el peor escenario en que Cryptocardium cesara operaciones, tu saldo es tuyo — el emisor es el custodio.
Límites de gasto por tarjeta, listas de MCC permitidos, listas de comercios denegados, geobloqueos — configurados por tarjeta, modificables en una sola llamada a la API. Limita una tarjeta a aws.amazon.com a 500 $/mes y nada más podrá tocarla.
Una llamada a la API (o un clic en el panel) congela la tarjeta de inmediato — las autorizaciones pendientes se rechazan en 200 ms. La reemisión genera un PAN nuevo, aprovisionado en Apple Pay y Google Pay antes de que el antiguo se enfríe.
Cada evento del ciclo de vida se entrega con una firma HMAC-SHA256 y un ID único por evento. Protegido contra reproducción, deduplicable, verificable en tres líneas en cualquier lenguaje — ninguna posibilidad de que un evento falsificado llegue a tu backend.
Lo que controlas directamente desde el panel — independiente de lo que hacemos en el servidor.
Cifrada con bcrypt al coste 12 en cada cuenta. El texto plano nunca toca el disco, nunca sale del ciclo de vida de la solicitud. Cámbiala en cualquier momento desde Seguridad → Cambiar contraseña.
TOTP estándar RFC 6238 — compatible con Google Authenticator, Authy, 1Password, Bitwarden, cualquier app compatible con TOTP. 10 códigos de recuperación de un solo uso, regenerables en cualquier momento.
Cada clave API se muestra una vez en la creación y se almacena solo como hash sha256. La revocación es instantánea — las claves antiguas dejan de autenticar en el momento en que haces clic en Revocar. La actividad por clave está auditada.
Cada evento de autenticación se registra con marca de tiempo, IP y resultado. Visible en Actividad → Eventos de cuenta. Los intentos fallidos activan la limitación de tasa automática (5 intentos por 15 min por IP).
Los bearer de sesión expiran tras 30 días de inactividad. Cerrar sesión desde cualquier dispositivo revoca la sesión en todas partes; el inicio de sesión invalida las sesiones más antiguas si activas el modo de un solo dispositivo.
Límites de gasto (por transacción / diario / mensual), listas de MCC permitidos (p. ej. solo comercios SaaS), geobloqueos por país y un botón de congelación — todo programable por tarjeta, sin tiempo de espera entre cambios.
Sin verificación de identidad, sin subir documentos, sin selfi. El programa de tarjetas funciona bajo nuestro paraguas de cumplimiento — tu privacidad es el estándar, no una mejora de nivel empresarial.
El programa de tarjetas está patrocinado por un emisor BIN con licencia en una jurisdicción de primer nivel. Cryptocardium es la capa tecnológica; la tarjeta en sí funciona sobre raíles regulados.
El socio emisor está certificado PCI DSS Nivel 1, auditado anualmente. Ningún PAN de titular de tarjeta toca jamás la infraestructura de Cryptocardium sin cifrar.
Los controles operativos de Cryptocardium están auditados como SOC 2 Tipo II. Monitorización continua, gestión de cambios, revisiones de proveedores.
Todo el tráfico usa TLS 1.3 con secreto hacia adelante. Los protocolos más antiguos son rechazados. HSTS precargado en cryptocardium.com.
Activo-activo multirregión. La ruta de autorización de tarjetas está replicada en tres centros de datos. Latencia mediana de autorización: 47 ms.
Cryptocardium tiene un programa de recompensas por errores. Reporta a través de nuestro canal de divulgación coordinada y gestionamos en 24 horas.
Abre un ticket de soporte etiquetado como security — se redirige directamente al equipo de seguridad.
Regístrate, financia con cripto, emite una tarjeta. Seis capas de defensa, cero preguntas KYC.
Everything people actually ask. Last updated .
Sí. Cada autorización pasa por 3-D Secure, normalmente como una aprobación en la app. No existe ningún mecanismo de respaldo solo con CVV estático. La superficie de fraude de titular de tarjeta no presente queda reducida a prácticamente cero.
Los saldos de tarjeta son mantenidos por el socio emisor con licencia de Cryptocardium en cuentas segregadas independientes del capital operativo. El emisor cumple PCI DSS Nivel 1 y está regulado como patrocinador BIN. Los fondos no están mezclados con el balance de Cryptocardium.
Las contraseñas se cifran con bcrypt con factor de trabajo 12 (~250 milisegundos por hash). Las contraseñas en texto plano nunca se almacenan, nunca se registran y nunca son visibles para el personal. Los restablecimientos de contraseña utilizan tokens de un solo uso que expiran en treinta minutos.
Sí. Se admite TOTP (RFC 6238) con cualquier autenticador estándar: Google Authenticator, Authy, 1Password, Bitwarden, Aegis. Los códigos rotan cada treinta segundos. Desactivar 2FA requiere la contraseña actual más un código válido.
Sí. Cada evento de webhook está firmado con HMAC-SHA256 usando un secreto por suscripción. Se incluyen claves de idempotencia para que los receptores puedan desduplicar de forma segura las reproducciones. Las claves de firma pueden rotarse bajo demanda sin tiempo de inactividad.
Sí. Cada tarjeta admite una lista programable de MCC permitidos y denegados (códigos de categoría de comercio), geobloqueos restringidos a países específicos, más límites de gasto por transacción, diarios y mensuales. Todos los ajustes se pueden modificar en una sola llamada a la API.
Pulsa el botón Congelar en el panel, o llama a POST /v1/cards/{id}/freeze (REST) o freeze_card (MCP). La congelación es instantánea; las autorizaciones posteriores se rechazan a nivel de red. La descongelación es simétrica.
La divulgación coordinada de vulnerabilidades está documentada en https://cryptocardium.com/.well-known/security.txt (RFC 9116). Los informes se canalizan a través del sistema de tickets autenticado en /contact y son elegibles para el programa de recompensas por errores descrito en esta página.
