कार्ड बैलेंस एक PCI DSS Level 1 विनियमित जारीकर्ता के पास, पृथक अकाउंट में रखे जाते हैं। हर प्राधिकरण 3-D Secure से गुज़रता है। एंटी-फ्रॉड निगरानी रीयल टाइम में चलती है। और हम कभी KYC नहीं मांगते — आपका खर्च, उन नियंत्रणों से सुदृढ़ जो एक शीर्ष-स्तरीय बैंक उपयोग करता है, बैंक के बिना।
हर प्राधिकरण छह स्वतंत्र जांचों से गुज़रता है। कोई भी एकल विफलता लेनदेन अस्वीकार कर देती है — कोई अपवाद नहीं, कोई फॉलबैक नहीं।
Visa Business और Visa Gold नेटिव रूप से पूर्ण 3-D Secure प्रमाणीकरण पूरा करते हैं। हर प्राधिकरण इन-ऐप चुनौती दिया जाता है — Face ID, Touch ID, पुश नोटिफिकेशन, या एक-बार का कोड। कोई CNP धोखाधड़ी सतह नहीं, स्टैटिक CVV पर कोई फॉलबैक नहीं।
वेलोसिटी नियम, जियोफेंसिंग, मर्चेंट-श्रेणी नियंत्रण, डिवाइस फिंगरप्रिंटिंग। हर अस्वीकृति एक संरचित कारण कोड ले जाती है ताकि आप जान सकें कि क्या ठीक करना है — कभी साइलेंट विफलता नहीं।
फंड जारीकर्ता के पास आपके अकाउंट में, परिचालन पूंजी से रिंग-फेंस्ड। सबसे बुरे मामले में भी जहां Cryptocardium संचालन बंद कर दे, आपका बैलेंस आपका है — जारीकर्ता संरक्षक है।
प्रति-कार्ड खर्च सीमाएं, MCC allow-lists, मर्चेंट denylists, जियो-लॉक — प्रति कार्ड सेट, एक API कॉल में संशोधन योग्य। एक कार्ड को aws.amazon.com पर $500/माह तक सीमित करें और कोई और उसे छू नहीं सकता।
एक API कॉल (या पैनल में एक क्लिक) तुरंत कार्ड फ्रीज़ करता है — लंबित प्राधिकरण 200 ms के भीतर अस्वीकृत। पुनः जारी करना एक नया PAN स्पिन करता है, जो पुराने के ठंडा होने से पहले Apple Pay और Google Pay में प्रावधानित हो जाता है।
हर जीवनचक्र इवेंट HMAC-SHA256 हस्ताक्षर और प्रति-इवेंट अद्वितीय ID के साथ डिलीवर होता है। रिप्ले-संरक्षित, डी-डुप्लीकेटेबल, किसी भी भाषा में तीन पंक्तियों में सत्यापन योग्य — आपके बैक-एंड तक पहुंचने का कोई जाली इवेंट का मौका नहीं।
आप पैनल से सीधे क्या नियंत्रित करते हैं — हम सर्वर-साइड जो करते हैं उससे स्वतंत्र।
हर अकाउंट पर cost 12 पर bcrypt से हैश किया गया। सादा पाठ कभी डिस्क को नहीं छूता, कभी अनुरोध जीवनचक्र नहीं छोड़ता। Security → Change password से कभी भी बदलें।
मानक RFC 6238 TOTP — Google Authenticator, Authy, 1Password, Bitwarden, किसी भी TOTP-संगत ऐप के साथ काम करता है। पुनर्प्राप्ति के लिए 10 एकल-उपयोग बैकअप कोड, किसी भी समय पुनः जनरेट करने योग्य।
प्रत्येक API key निर्माण पर एक बार दिखाई जाती है और केवल sha256 हैश के रूप में संग्रहीत होती है। रद्दीकरण तत्काल है — आप Revoke क्लिक करते ही पुरानी keys प्रमाणीकरण बंद कर देती हैं। प्रति-key गतिविधि ऑडिट की जाती है।
हर प्रमाणीकरण इवेंट टाइमस्टैम्प, IP और परिणाम के साथ लॉग किया जाता है। Activity → Account events में दृश्यमान। विफल प्रयास स्वचालित रेट-लिमिटिंग ट्रिगर करते हैं (प्रति IP 15 मिनट में 5 प्रयास)।
Session bearers निष्क्रियता के 30 दिनों बाद समाप्त होते हैं। किसी भी डिवाइस से साइन आउट सत्र को हर जगह रद्द करता है; साइन-इन पुराने सत्रों को अमान्य करता है यदि आप single-device मोड में ऑप्ट इन करते हैं।
खर्च सीमाएं (लेनदेन / दैनिक / मासिक), MCC allow-lists (जैसे केवल SaaS मर्चेंट), देश जियो-लॉक, और एक फ्रीज़ टॉगल — सभी प्रति कार्ड प्रोग्रामेबल, परिवर्तनों के बीच कोई कूल-ऑफ नहीं।
कोई पहचान सत्यापन नहीं, कोई दस्तावेज़ अपलोड नहीं, कोई सेल्फी नहीं। कार्ड कार्यक्रम हमारे अनुपालन छत्र के तहत चलता है — आपकी गोपनीयता डिफ़ॉल्ट है, एंटरप्राइज़ अपग्रेड नहीं।
कार्ड कार्यक्रम एक शीर्ष-स्तरीय क्षेत्राधिकार में एक लाइसेंस प्राप्त BIN-जारीकर्ता द्वारा प्रायोजित है। Cryptocardium तकनीक परत है; कार्ड स्वयं विनियमित रेल पर चलता है।
जारी करने वाला भागीदार PCI DSS Level 1 प्रमाणित है, वार्षिक रूप से ऑडिट किया जाता है। कोई कार्डधारक PAN कभी Cryptocardium इंफ्रास्ट्रक्चर को अनएन्क्रिप्टेड नहीं छूता।
Cryptocardium के परिचालन नियंत्रण SOC 2 Type II ऑडिटेड हैं। निरंतर निगरानी, परिवर्तन प्रबंधन, विक्रेता समीक्षाएं।
सभी ट्रैफ़िक forward secrecy के साथ TLS 1.3 है। पुराने प्रोटोकॉल अस्वीकृत हैं। cryptocardium.com पर HSTS preloaded।
मल्टी-रीजन active-active। कार्ड auth पथ तीन डेटा सेंटर में प्रतिलिपि बनाई गई है। मेडियन auth लेटेंसी: 47 ms।
Cryptocardium एक बग बाउंटी कार्यक्रम चलाता है। हमारे समन्वित प्रकटीकरण चैनल के माध्यम से रिपोर्ट करें और हम 24 घंटों के भीतर ट्रिएज करेंगे।
security टैग वाला support ticket खोलें — हम सीधे सुरक्षा टीम को रूट करते हैं।
साइन अप करें, क्रिप्टो से फंड करें, कार्ड जारी करें। छह परतें रक्षा, शून्य KYC प्रश्न।
Everything people actually ask. Last updated .
हां। हर प्राधिकरण 3-D Secure के माध्यम से चुनौती दिया जाता है, सामान्यतः इन-ऐप अनुमोदन के रूप में। कोई स्टैटिक-CVV-केवल फॉलबैक नहीं है। इसलिए Cardholder-Not-Present धोखाधड़ी की सतह लगभग शून्य हो जाती है।
कार्ड बैलेंस Cryptocardium के लाइसेंस प्राप्त कार्ड-जारी करने वाले भागीदार द्वारा परिचालन पूंजी से रिंग-फेंस्ड पृथक अकाउंट में रखे जाते हैं। जारीकर्ता PCI DSS Level 1 और BIN-sponsor विनियमित है। फंड Cryptocardium की अपनी बैलेंस शीट के साथ मिश्रित नहीं होते।
पासवर्ड work factor 12 पर bcrypt से हैश किए जाते हैं (~250 मिलीसेकंड प्रति हैश)। सादा पाठ पासवर्ड कभी संग्रहीत नहीं, कभी लॉग नहीं और कभी स्टाफ को दिखाई नहीं देते। पासवर्ड रीसेट तीस मिनट में समाप्त होने वाले एकल-उपयोग टोकन का उपयोग करते हैं।
हां। TOTP (RFC 6238) किसी भी मानक ऑथेंटिकेटर के साथ समर्थित है: Google Authenticator, Authy, 1Password, Bitwarden, Aegis। कोड हर तीस सेकंड में बदलते हैं। 2FA अक्षम करने के लिए वर्तमान पासवर्ड और एक वैध कोड दोनों आवश्यक हैं।
हां। हर webhook इवेंट प्रति-सदस्यता सीक्रेट के साथ HMAC-SHA256 से हस्ताक्षरित है। Idempotency keys शामिल हैं ताकि प्राप्तकर्ता सुरक्षित रूप से रिप्ले को डी-डुप्लीकेट कर सकें। साइनिंग keys को बिना डाउनटाइम के मांग पर रोटेट किया जा सकता है।
हां। प्रत्येक कार्ड एक प्रोग्रामेबल MCC allow-list और denylist (मर्चेंट श्रेणी कोड), विशिष्ट देशों तक प्रतिबंधित जियो-लॉक, साथ ही प्रति-लेनदेन, दैनिक और मासिक खर्च सीमाओं का समर्थन करता है। सभी सेटिंग्स एक API कॉल में संशोधन योग्य हैं।
पैनल में Freeze बटन दबाएं, या POST /v1/cards/{id}/freeze (REST) या freeze_card (MCP) कॉल करें। फ्रीज़िंग तत्काल है; बाद के प्राधिकरण नेटवर्क स्तर पर अस्वीकृत किए जाते हैं। अनफ्रीज़िंग सममित है।
समन्वित भेद्यता प्रकटीकरण https://cryptocardium.com/.well-known/security.txt (RFC 9116) पर दस्तावेज़ीकृत है। रिपोर्ट /contact पर प्रमाणित टिकट सिस्टम के माध्यम से रूट की जाती हैं और इस पृष्ठ पर वर्णित बग बाउंटी कार्यक्रम के लिए योग्य हैं।
