Les soldes des cartes sont déposés auprès d'un émetteur régulé PCI DSS Level 1, dans des comptes ségrégués. Chaque autorisation passe par le 3-D Secure. La surveillance anti-fraude opère en temps réel. Et nous ne demandons jamais de KYC — vos dépenses, protégées par les dispositifs d'une banque de premier rang, sans la banque.
Chaque autorisation passe par six vérifications indépendantes. Un seul échec suffit à refuser la transaction — sans exception, sans repli.
Visa Business et Visa Gold activent le 3-D Secure natif sur chaque autorisation. Chaque opération est validée in-app — Face ID, Touch ID, notification push ou code à usage unique. Aucune surface de fraude CNP, aucun repli sur CVV statique.
Règles de vélocité, géofencing, contrôles par catégorie marchand, empreinte d'appareil. Chaque refus porte un code de motif structuré afin que vous sachiez précisément quoi corriger — jamais d'échec silencieux.
Les fonds sont déposés auprès de l'émetteur dans votre compte, isolés du capital d'exploitation. Même dans le pire des cas où Cryptocardium cesserait ses activités, votre solde vous appartient — l'émetteur en est le dépositaire.
Plafonds de dépense par carte, listes d'autorisation MCC, listes de refus marchands, géo-blocages — définis par carte, modifiables en un seul appel API. Limitez une carte à aws.amazon.com à 500 $/mois et rien d'autre ne pourra l'utiliser.
Un seul appel API (ou un clic dans le panneau) bloque la carte immédiatement — les autorisations en attente sont refusées en moins de 200 ms. La réémission génère un nouveau PAN, provisionné sur Apple Pay et Google Pay avant que l'ancien ne soit invalidé.
Chaque événement du cycle de vie est livré avec une signature HMAC-SHA256 et un identifiant unique par événement. Protégé contre la relecture, déduplicable, vérifiable en trois lignes dans n'importe quel langage — aucun risque d'événement falsifié atteignant votre backend.
Ce que vous contrôlez directement depuis le panneau — indépendamment de ce que nous faisons côté serveur.
Haché avec bcrypt à un coût de 12 sur chaque compte. Le texte en clair ne touche jamais le disque, ne quitte jamais le cycle de vie de la requête. Modifiable à tout moment depuis Sécurité → Changer le mot de passe.
TOTP standard RFC 6238 — compatible avec Google Authenticator, Authy, 1Password, Bitwarden et toute application TOTP. 10 codes de récupération à usage unique pour la restauration, régénérables à tout moment.
Chaque clé API est affichée une seule fois à la création et stockée uniquement sous forme de hachage sha256. La révocation est instantanée — les anciennes clés cessent de s'authentifier dès que vous cliquez sur Révoquer. L'activité par clé est auditée.
Chaque événement d'authentification est journalisé avec l'horodatage, l'IP et le résultat. Visible dans Activité → Événements du compte. Les tentatives échouées déclenchent une limitation de débit automatique (5 tentatives par 15 min par IP).
Les bearers de session expirent après 30 jours d'inactivité. La déconnexion depuis n'importe quel appareil révoque la session partout ; la connexion invalide les sessions plus anciennes si vous activez le mode appareil unique.
Plafonds de dépense (par transaction / par jour / par mois), listes d'autorisation MCC (ex. marchands SaaS uniquement), géo-blocages par pays et interrupteur de blocage — tous programmables par carte, sans délai entre les modifications.
Aucune vérification d'identité, aucun téléchargement de document, aucun selfie. Le programme de cartes opère sous notre ombrelle de conformité — votre confidentialité est le réglage par défaut, pas une option entreprise.
Le programme de cartes est sponsorisé par un émetteur BIN agréé dans une juridiction de premier rang. Cryptocardium est la couche technologique ; la carte elle-même circule sur des rails régulés.
Le partenaire émetteur est certifié PCI DSS Level 1, audité annuellement. Aucun PAN de titulaire ne touche jamais l'infrastructure Cryptocardium en clair.
Les contrôles opérationnels de Cryptocardium font l'objet d'un audit SOC 2 Type II. Surveillance continue, gestion des changements, revues fournisseurs.
Tout le trafic est en TLS 1.3 avec confidentialité persistante. Les protocoles antérieurs sont refusés. HSTS préchargé sur cryptocardium.com.
Multi-région actif-actif. Le chemin d'autorisation des cartes est répliqué sur trois centres de données. Latence médiane d'autorisation : 47 ms.
Cryptocardium gère un programme de bug bounty. Signalez via notre canal de divulgation coordonnée et nous effectuerons un triage sous 24 heures.
Ouvrez un ticket de support tagué security — nous l'acheminons directement à l'équipe sécurité.
Inscrivez-vous, alimentez en crypto, émettez une carte. Six couches de défense, zéro question KYC.
Everything people actually ask. Last updated .
Oui. Chaque autorisation est soumise au 3-D Secure, généralement sous forme de validation in-app. Il n'existe aucun repli sur CVV statique uniquement. La surface de fraude Cardholder-Not-Present est donc réduite à quasi zéro.
Les soldes des cartes sont détenus par le partenaire émetteur agréé de Cryptocardium dans des comptes ségrégués, isolés du capital d'exploitation. L'émetteur est certifié PCI DSS Level 1 et régulé en tant que sponsor BIN. Les fonds ne sont pas mélangés au bilan propre de Cryptocardium.
Les mots de passe sont hachés avec bcrypt à un facteur de travail de 12 (~250 millisecondes par hachage). Les mots de passe en clair ne sont jamais stockés, jamais journalisés et jamais visibles par le personnel. Les réinitialisations utilisent des tokens à usage unique expirant en trente minutes.
Oui. Le TOTP (RFC 6238) est pris en charge avec tout authentificateur standard : Google Authenticator, Authy, 1Password, Bitwarden, Aegis. Les codes se renouvellent toutes les trente secondes. La désactivation du 2FA nécessite le mot de passe courant et un code valide.
Oui. Chaque événement webhook est signé avec HMAC-SHA256 à l'aide d'un secret par abonnement. Des clés d'idempotence sont incluses afin que les destinataires puissent dédupliquer les relectures en toute sécurité. Les clés de signature peuvent être renouvelées à la demande sans interruption de service.
Oui. Chaque carte supporte une liste d'autorisation et de refus MCC programmable (codes de catégorie marchand), des géo-blocages restreints à des pays spécifiques, ainsi que des plafonds de dépense par transaction, par jour et par mois. Tous les paramètres sont modifiables en un seul appel API.
Appuyez sur le bouton Bloquer dans le panneau, ou appelez POST /v1/cards/{id}/freeze (REST) ou freeze_card (MCP). Le blocage est instantané ; les autorisations suivantes sont refusées au niveau réseau. Le déblocage fonctionne de manière symétrique.
La divulgation coordonnée des vulnérabilités est documentée sur https://cryptocardium.com/.well-known/security.txt (RFC 9116). Les signalements sont acheminés via le système de tickets authentifié sur /contact et ouvrent droit au programme de bug bounty décrit sur cette page.
