Os saldos dos cartões ficam em um emissor regulado PCI DSS Level 1, em contas segregadas. Toda autorização passa por 3-D Secure. O monitoramento antifraude opera em tempo real. E nunca solicitamos KYC — seus gastos, protegidos pelos controles de um banco de primeira linha, sem o banco.
Toda autorização passa por seis verificações independentes. Uma única falha recusa a transação — sem exceções, sem fallbacks.
Visa Business e Visa Gold realizam autenticação 3-D Secure nativa completa. Toda autorização é desafiada no aplicativo — Face ID, Touch ID, notificação push ou código de uso único. Sem superfície de fraude CNP, sem fallback para CVV estático.
Regras de velocidade, geofencing, controles de categoria de comerciante, fingerprinting de dispositivo. Cada recusa traz um código de motivo estruturado para que você saiba exatamente o que corrigir — sem falhas silenciosas.
Os fundos ficam no emissor em sua conta, isolados do capital operacional. Mesmo no pior cenário em que a Cryptocardium encerre as operações, seu saldo é seu — o emissor é o custodiante.
Tetos de gastos por cartão, listas de permissões MCC, listas de bloqueio de comerciantes, bloqueios geográficos — configurados por cartão, revisáveis em uma chamada de API. Limite um cartão a aws.amazon.com a $500/mês e nada mais poderá utilizá-lo.
Uma chamada de API (ou um clique no painel) bloqueia o cartão imediatamente — autorizações pendentes são recusadas em 200 ms. A reemissão gera um novo PAN, provisionado para Apple Pay e Google Pay antes que o anterior expire.
Todo evento do ciclo de vida é entregue com uma assinatura HMAC-SHA256 e um ID exclusivo por evento. Protegido contra replay, desduplicável, verificável em três linhas em qualquer linguagem — sem chance de um evento falsificado atingir seu back-end.
O que você controla diretamente pelo painel — independente do que fazemos no lado do servidor.
Derivada com bcrypt no custo 12 em cada conta. O texto simples jamais toca o disco, jamais sai do ciclo de vida da requisição. Altere a qualquer momento em Segurança → Alterar senha.
TOTP padrão RFC 6238 — funciona com Google Authenticator, Authy, 1Password, Bitwarden e qualquer aplicativo compatível com TOTP. 10 códigos de backup de uso único para recuperação, regeneráveis a qualquer momento.
Cada chave de API é exibida uma única vez na criação e armazenada apenas como um hash sha256. A revogação é instantânea — as chaves antigas param de autenticar no momento em que você clica em Revogar. A atividade por chave é auditada.
Todo evento de autenticação é registrado com timestamp, IP e resultado. Visível em Atividade → Eventos de conta. Tentativas falhas ativam limitação de taxa automática (5 tentativas por 15 min por IP).
Os bearers de sessão expiram após 30 dias de inatividade. Encerrar a sessão de qualquer dispositivo revoga a sessão em todos; o login invalida sessões mais antigas se você optar pelo modo de dispositivo único.
Tetos de gastos (por transação / diário / mensal), listas de permissões MCC (ex.: somente comerciantes SaaS), bloqueios geográficos por país e alternância de bloqueio — tudo programável por cartão, sem intervalo entre alterações.
Sem verificação de identidade, sem envio de documentos, sem selfie. O programa de cartões opera sob nosso guarda-chuva de conformidade — sua privacidade é o padrão, não um upgrade corporativo.
O programa de cartões é patrocinado por um emissor BIN licenciado em uma jurisdição de primeiro nível. A Cryptocardium é a camada tecnológica; o cartão em si opera em trilhos regulados.
O parceiro emissor é certificado PCI DSS Level 1, auditado anualmente. Nenhum PAN de titular de cartão jamais toca a infraestrutura da Cryptocardium sem criptografia.
Os controles operacionais da Cryptocardium são auditados SOC 2 Type II. Monitoramento contínuo, gestão de mudanças, revisões de fornecedores.
Todo o tráfego usa TLS 1.3 com sigilo futuro. Protocolos mais antigos são recusados. HSTS pré-carregado em cryptocardium.com.
Ativo-ativo multirregional. O caminho de autorização de cartões é replicado em três data centers. Latência mediana de autorização: 47 ms.
A Cryptocardium mantém um programa de bug bounty. Reporte pelo nosso canal de divulgação coordenada e faremos a triagem em até 24 horas.
Abra um ticket de suporte com a tag security — encaminhamos diretamente para a equipe de segurança.
Cadastre-se, financie com cripto, emita um cartão. Seis camadas de defesa, zero perguntas de KYC.
Everything people actually ask. Last updated .
Sim. Toda autorização é desafiada pelo 3-D Secure, geralmente como uma aprovação no aplicativo. Não há fallback exclusivo por CVV estático. A superfície de fraude Cardholder-Not-Present é reduzida a quase zero.
Os saldos de cartão são mantidos pelo parceiro emissor licenciado da Cryptocardium em contas segregadas e isoladas do capital operacional. O emissor é PCI DSS Level 1 e regulado como patrocinador BIN. Os fundos não são misturados com o balanço patrimonial próprio da Cryptocardium.
As senhas são derivadas com bcrypt no fator de trabalho 12 (~250 milissegundos por hash). Senhas em texto simples jamais são armazenadas, jamais registradas em log e jamais visíveis para a equipe. As redefinições de senha usam tokens de uso único com validade de trinta minutos.
Sim. TOTP (RFC 6238) é suportado com qualquer autenticador padrão: Google Authenticator, Authy, 1Password, Bitwarden, Aegis. Os códigos são renovados a cada trinta segundos. Desativar o 2FA requer a senha atual mais um código válido.
Sim. Todo evento de webhook é assinado com HMAC-SHA256 usando um segredo exclusivo por assinatura. Chaves de idempotência são incluídas para que os receptores possam desduplicar reenvios com segurança. As chaves de assinatura podem ser rotacionadas sob demanda sem interrupção.
Sim. Cada cartão suporta lista de permissões e bloqueios MCC programáveis (códigos de categoria de comerciante), bloqueios geográficos restritos a países específicos, além de tetos de gastos por transação, diário e mensal. Todas as configurações são revisáveis em uma única chamada de API.
Pressione o botão Bloquear no painel, ou chame POST /v1/cards/{id}/freeze (REST) ou freeze_card (MCP). O bloqueio é instantâneo; as autorizações subsequentes são recusadas na rede. O desbloqueio é simétrico.
A divulgação coordenada de vulnerabilidades está documentada em https://cryptocardium.com/.well-known/security.txt (RFC 9116). Os relatórios são encaminhados pelo sistema de tickets autenticado em /contact e qualificam para o programa de bug bounty descrito nesta página.
