모든 결제에 3-D Secure 적용
Visa Business 및 Visa Gold는 완전한 3-D Secure 인증을 기본 제공합니다. 모든 승인은 인앱에서 인증됩니다 — Face ID, Touch ID, 푸시 알림, 또는 일회용 코드. 비대면 사기 노출 면적 없음, 정적 CVV 대체 수단 없음.
카드 잔액은 분리 계좌의 PCI DSS Level 1 규제 발급사에 보관됩니다. 모든 승인은 3-D Secure를 거칩니다. 부정 거래 모니터링이 실시간으로 실행됩니다. 그리고 저희는 KYC를 요청하지 않습니다 — 1등급 은행이 사용하는 통제 수단으로 강화된 결제, 은행 없이.
모든 승인은 여섯 가지 독립적인 검사를 통과합니다. 단 하나라도 실패하면 거래가 거절됩니다 — 예외 없음, 대체 수단 없음.
Visa Business 및 Visa Gold는 완전한 3-D Secure 인증을 기본 제공합니다. 모든 승인은 인앱에서 인증됩니다 — Face ID, Touch ID, 푸시 알림, 또는 일회용 코드. 비대면 사기 노출 면적 없음, 정적 CVV 대체 수단 없음.
속도 규칙, 지오펜싱, 가맹점 카테고리 통제, 디바이스 지문 인식. 모든 거절에는 정확히 무엇을 수정해야 하는지 알 수 있도록 구조화된 사유 코드가 포함됩니다 — 묵시적 실패는 없습니다.
자금은 귀하의 계좌에서 발급사가 운영 자본과 분리하여 보관합니다. Cryptocardium이 운영을 중단하는 최악의 시나리오에서도 귀하의 잔액은 귀하의 것입니다 — 발급사가 수탁자입니다.
카드별 지출 한도, MCC 허용 목록, 가맹점 차단 목록, 지역 잠금 — 카드별로 설정하고 단일 API 호출로 변경 가능. 카드를 aws.amazon.com에 월 $500로 제한하면 다른 어떤 곳에서도 사용할 수 없습니다.
단일 API 호출(또는 패널에서 클릭 한 번)로 카드가 즉시 동결됩니다 — 대기 중인 승인은 200 ms 이내에 거절됩니다. 재발급 시 새 PAN이 생성되며, 기존 카드가 비활성화되기 전에 Apple Pay 및 Google Pay에 프로비저닝됩니다.
모든 라이프사이클 이벤트는 HMAC-SHA256 서명과 이벤트별 고유 ID와 함께 전달됩니다. 재전송 방지, 중복 제거 가능, 어떤 언어에서도 세 줄로 검증 가능 — 스푸핑된 이벤트가 백엔드에 도달할 가능성 없음.
서버 측 작업과 독립적으로 패널에서 직접 제어하는 항목.
모든 계정에서 bcrypt 비용 12로 해싱됩니다. 평문은 디스크에 닿지 않으며 요청 수명 주기를 벗어나지 않습니다. 보안 → 비밀번호 변경에서 언제든지 변경 가능합니다.
표준 RFC 6238 TOTP — Google Authenticator, Authy, 1Password, Bitwarden, 모든 TOTP 호환 앱과 작동합니다. 복구를 위한 10개의 일회용 백업 코드, 언제든지 재생성 가능.
각 API 키는 생성 시 한 번만 표시되며 sha256 해시로만 저장됩니다. 폐기는 즉시 적용됩니다 — 폐기를 클릭하는 순간 구키는 인증이 중단됩니다. 키별 활동이 감사됩니다.
모든 인증 이벤트는 타임스탬프, IP, 결과와 함께 기록됩니다. 활동 → 계정 이벤트에서 확인 가능. 실패 시도는 자동 요청 제한을 유발합니다 (IP당 15분에 5회).
세션 베어러는 비활성 30일 후 만료됩니다. 모든 기기에서 로그아웃하면 세션이 즉시 폐기됩니다. 단일 기기 모드를 선택하면 로그인 시 이전 세션이 무효화됩니다.
지출 한도(건당 / 일별 / 월별), MCC 허용 목록(예: SaaS 가맹점만), 국가 지역 잠금, 동결 토글 — 카드별로 프로그래밍 가능하며 변경 간 대기 시간 없음.
신원 확인 없음, 서류 업로드 없음, 셀피 없음. 카드 프로그램은 저희의 컴플라이언스 체계 하에 운영됩니다 — 귀하의 개인정보 보호가 기본값이며, 엔터프라이즈 업그레이드가 아닙니다.
카드 프로그램은 1등급 관할 지역의 라이선스 BIN 발급사가 스폰서합니다. Cryptocardium은 기술 계층이며, 카드 자체는 규제된 결제망에서 운영됩니다.
발급 파트너는 PCI DSS Level 1 인증을 보유하며 연간 감사를 받습니다. 카드 소지자 PAN은 암호화되지 않은 상태로 Cryptocardium 인프라에 닿지 않습니다.
Cryptocardium의 운영 통제는 SOC 2 Type II 감사를 받습니다. 지속적 모니터링, 변경 관리, 벤더 검토.
모든 트래픽은 전방 비밀성이 있는 TLS 1.3을 사용합니다. 구버전 프로토콜은 거절됩니다. cryptocardium.com 전체에 HSTS가 사전 로드되어 있습니다.
멀티 리전 액티브-액티브. 카드 인증 경로는 세 개의 데이터 센터에 복제됩니다. 중간 인증 지연 시간: 47 ms.
Cryptocardium은 버그 바운티 프로그램을 운영합니다. 조율된 공개 채널을 통해 신고하시면 24시간 이내에 심사가 시작됩니다.
지원 티켓을 security 태그와 함께 개설하십시오 — 보안팀으로 직접 전달됩니다.
Everything people actually ask. Last updated .
그렇습니다. 모든 승인은 3-D Secure를 통해 인증되며, 일반적으로 인앱 승인 방식으로 처리됩니다. 정적 CVV 전용 대체 수단은 없습니다. 따라서 비대면 사기 노출 면적이 거의 0에 가깝게 감소합니다.
카드 잔액은 운영 자본과 분리된 계좌에서 Cryptocardium의 라이선스 카드 발급 파트너가 보관합니다. 발급사는 PCI DSS Level 1 및 BIN 스폰서 규제를 준수합니다. 자금은 Cryptocardium의 자체 재무와 혼합되지 않습니다.
비밀번호는 작업 인수 12의 bcrypt로 해싱됩니다 (~해시당 250밀리초). 평문 비밀번호는 저장되지 않으며, 로그에 남지 않고, 직원에게도 노출되지 않습니다. 비밀번호 재설정은 30분 내 만료되는 일회용 토큰을 사용합니다.
그렇습니다. TOTP(RFC 6238)가 지원되며 Google Authenticator, Authy, 1Password, Bitwarden, Aegis 등 표준 인증기와 호환됩니다. 코드는 30초마다 갱신됩니다. 2FA 비활성화에는 현재 비밀번호와 유효한 코드가 필요합니다.
그렇습니다. 모든 웹훅 이벤트는 구독별 비밀 키를 사용하여 HMAC-SHA256으로 서명됩니다. 수신자가 재전송을 안전하게 중복 제거할 수 있도록 멱등성 키가 포함됩니다. 서명 키는 다운타임 없이 필요 시 갱신할 수 있습니다.
그렇습니다. 각 카드는 프로그래밍 가능한 MCC 허용 목록 및 차단 목록(가맹점 카테고리 코드), 특정 국가로의 지역 잠금, 건당 · 일별 · 월별 지출 한도를 지원합니다. 모든 설정은 단일 API 호출로 변경 가능합니다.
패널의 동결 버튼을 누르거나, POST /v1/cards/{id}/freeze (REST) 또는 freeze_card (MCP)를 호출하십시오. 동결은 즉시 적용되며 이후 승인은 네트워크 수준에서 거절됩니다. 동결 해제는 동일한 방식으로 진행됩니다.
조율된 취약점 공개는 https://cryptocardium.com/.well-known/security.txt(RFC 9116)에 문서화되어 있습니다. 신고는 /contact의 인증된 티켓 시스템을 통해 접수되며, 이 페이지에 설명된 버그 바운티 프로그램 대상에 해당합니다.