I saldi delle carte si trovano presso un emittente regolamentato PCI DSS Level 1, in conti segregati. Ogni autorizzazione passa per il 3-D Secure. Il monitoraggio antifrode è in tempo reale. E non chiediamo mai il KYC — la tua spesa, protetta dai controlli di una banca di primo livello, senza la banca.
Ogni autorizzazione passa attraverso sei verifiche indipendenti. Un singolo fallimento rifiuta la transazione — nessuna eccezione, nessun fallback.
Visa Business e Visa Gold eseguono l'autenticazione 3-D Secure completa nativamente. Ogni autorizzazione viene verificata in-app — Face ID, Touch ID, notifica push o codice monouso. Nessuna superficie di frode CNP, nessun fallback al CVV statico.
Regole di velocità, geofencing, controlli per categoria commerciante, device fingerprinting. Ogni rifiuto porta un codice motivo strutturato così sai esattamente cosa correggere — mai un fallimento silenzioso.
I fondi si trovano presso l'emittente nel tuo account, separati dal capitale operativo. Anche nello scenario peggiore in cui Cryptocardium cessasse le operazioni, il tuo saldo è tuo — l'emittente è il custode.
Massimali di spesa per carta, allow-list MCC, denylist commercianti, geo-lock — impostati per carta, modificabili in una sola chiamata API. Limita una carta a aws.amazon.com a $500/mese e nient'altro potrà utilizzarla.
Una chiamata API (o un clic nel pannello) blocca la carta immediatamente — le autorizzazioni in sospeso vengono rifiutate entro 200 ms. La riemissione genera un nuovo PAN, disponibile su Apple Pay e Google Pay prima che il vecchio sia ancora caldo.
Ogni evento del ciclo di vita viene consegnato con una firma HMAC-SHA256 e un ID univoco per evento. Protetto contro i replay, deduplicabile, verificabile in tre righe in qualsiasi linguaggio — nessuna possibilità che un evento falsificato raggiunga il tuo backend.
Ciò che controlli direttamente dal pannello — indipendentemente da ciò che facciamo lato server.
Sottoposta a hashing con bcrypt a cost 12 per ogni account. Il testo in chiaro non tocca mai il disco, non esce mai dal ciclo di vita della richiesta. Modificabile in qualsiasi momento da Sicurezza → Cambia password.
TOTP standard RFC 6238 — compatibile con Google Authenticator, Authy, 1Password, Bitwarden e qualsiasi app TOTP. 10 codici di backup monouso per il recupero, rigenerabili in qualsiasi momento.
Ogni chiave API viene mostrata una sola volta alla creazione e memorizzata solo come hash sha256. La revoca è istantanea — le vecchie chiavi smettono di autenticarsi nel momento in cui clicchi Revoca. L'attività per chiave è sottoposta ad audit.
Ogni evento di autenticazione viene registrato con timestamp, IP e risultato. Visibile in Attività → Eventi account. I tentativi falliti attivano la limitazione automatica della frequenza (5 tentativi per 15 min per IP).
I bearer di sessione scadono dopo 30 giorni di inattività. La disconnessione da qualsiasi dispositivo revoca la sessione ovunque; il nuovo accesso invalida le sessioni precedenti se si attiva la modalità dispositivo singolo.
Massimali di spesa (per transazione / giornalieri / mensili), allow-list MCC (es. solo commercianti SaaS), geo-lock per Paese e un interruttore di blocco — tutto programmabile per carta, senza tempi di attesa tra le modifiche.
Nessuna verifica d'identità, nessun caricamento di documenti, nessun selfie. Il programma carte opera sotto il nostro ombrello di conformità — la tua privacy è l'impostazione predefinita, non un'opzione enterprise.
Il programma carte è sponsorizzato da un emittente BIN autorizzato in una giurisdizione di primo livello. Cryptocardium è il livello tecnologico; la carta stessa opera su circuiti regolamentati.
Il partner emittente è certificato PCI DSS Level 1, sottoposto ad audit annuale. Nessun PAN del titolare tocca mai l'infrastruttura Cryptocardium non cifrata.
I controlli operativi di Cryptocardium sono sottoposti ad audit SOC 2 Type II. Monitoraggio continuo, gestione delle modifiche, revisione dei fornitori.
Tutto il traffico usa TLS 1.3 con forward secrecy. I protocolli più vecchi vengono rifiutati. HSTS precaricato su cryptocardium.com.
Multi-regione active-active. Il percorso di autorizzazione carte è replicato su tre data center. Latenza di autorizzazione mediana: 47 ms.
Cryptocardium gestisce un programma di bug bounty. Segnala attraverso il nostro canale di divulgazione coordinata e provvederemo al triage entro 24 ore.
Apri un ticket di supporto con tag security — lo inoltriamo direttamente al team di sicurezza.
Registrati, finanzia con crypto, emetti una carta. Sei livelli di difesa, zero domande KYC.
Everything people actually ask. Last updated .
Sì. Ogni autorizzazione viene verificata tramite 3-D Secure, tipicamente come approvazione in-app. Non esiste un fallback al solo CVV statico. La superficie di frode Cardholder-Not-Present è quindi ridotta quasi a zero.
I saldi delle carte sono detenuti dal partner emittente autorizzato di Cryptocardium in conti segregati, separati dal capitale operativo. L'emittente è certificato PCI DSS Level 1 e regolamentato come BIN-sponsor. I fondi non sono commisti con il bilancio proprio di Cryptocardium.
Le password vengono sottoposte a hashing con bcrypt a work factor 12 (~250 millisecondi per hash). Le password in chiaro non vengono mai memorizzate, mai registrate nei log e mai visibili al personale. I reset della password utilizzano token monouso con scadenza di trenta minuti.
Sì. TOTP (RFC 6238) è supportato con qualsiasi app di autenticazione standard: Google Authenticator, Authy, 1Password, Bitwarden, Aegis. I codici si aggiornano ogni trenta secondi. Disabilitare il 2FA richiede la password corrente più un codice valido.
Sì. Ogni evento webhook viene firmato con HMAC-SHA256 utilizzando un secret per sottoscrizione. Sono incluse chiavi di idempotenza per consentire ai destinatari di deduplicare in sicurezza le ripetizioni. Le chiavi di firma possono essere ruotate su richiesta senza interruzioni del servizio.
Sì. Ogni carta supporta una allow-list e denylist MCC programmabile (codici categoria commerciante), geo-lock limitati a Paesi specifici, oltre a massimali di spesa per transazione, giornalieri e mensili. Tutte le impostazioni sono modificabili con una singola chiamata API.
Premi il pulsante Blocca nel pannello, oppure chiama POST /v1/cards/{id}/freeze (REST) o freeze_card (MCP). Il blocco è istantaneo; le successive autorizzazioni vengono rifiutate a livello di rete. Lo sblocco è simmetrico.
La divulgazione coordinata delle vulnerabilità è documentata su https://cryptocardium.com/.well-known/security.txt (RFC 9116). Le segnalazioni vengono instradate attraverso il sistema di ticket autenticato su /contact e sono idonee per il programma di bug bounty descritto in questa pagina.
