每笔消费均有 3-D Secure 保护
Visa Business 和 Visa Gold 原生通过完整的 3-D Secure 身份验证。每笔授权均需在应用内确认——Face ID、Touch ID、推送通知或一次性验证码。无无卡欺诈敞口,无静态 CVV 降级通道。
每笔授权须通过六项独立检查。任一环节失败即拒绝交易——无例外,无降级通道。
Visa Business 和 Visa Gold 原生通过完整的 3-D Secure 身份验证。每笔授权均需在应用内确认——Face ID、Touch ID、推送通知或一次性验证码。无无卡欺诈敞口,无静态 CVV 降级通道。
频率规则、地理围栏、商户类别控制、设备指纹识别。每次拒绝均附带结构化原因码,让您清楚了解问题所在——绝无无声失败。
资金存放于发卡机构您的账户中,与运营资金隔离。即使在 Cryptocardium 停止运营的极端情况下,余额仍归您所有——发卡机构是托管方。
单卡消费上限、MCC 允许列表、商户拒绝列表、地理锁——按卡设置,一次 API 调用即可修改。将某张卡限制为仅限 aws.amazon.com、每月 $500,其他任何场景均无法使用。
一次 API 调用(或面板一键点击)即可立即冻结卡片——待处理授权在 200 ms 内被拒绝。重新发行将生成全新 PAN,旧卡失效前即可完成 Apple Pay 和 Google Pay 的配置。
每个生命周期事件均附带 HMAC-SHA256 签名和唯一事件 ID。防重放、可去重、任意语言三行代码即可验证——不给伪造事件抵达后端留下任何机会。
您可直接从面板控制的内容——与我们在服务器端所做的操作相互独立。
每个账户均以工作因子 12 的 bcrypt 进行哈希。明文永不落盘,不离开请求生命周期。可随时在 安全 → 修改密码 中更改。
标准 RFC 6238 TOTP——兼容 Google Authenticator、Authy、1Password、Bitwarden 及任何支持 TOTP 的应用。提供 10 个单次使用的备用恢复码,可随时重新生成。
每个 API 密钥仅在创建时明文展示一次,此后仅以 sha256 哈希形式存储。吊销立即生效——点击 吊销 的那一刻,旧密钥即停止认证。每个密钥的活动均受审计。
每次身份验证事件均记录时间戳、IP 及结果。可在 活动 → 账户事件 中查看。失败尝试触发自动限速(每 IP 每 15 分钟 5 次)。
会话 Bearer 在 30 天不活跃后过期。从任意设备退出即可吊销该设备会话;若启用单设备模式,登录时将使旧会话失效。
消费上限(单笔 / 每日 / 每月)、MCC 允许列表(例如仅限 SaaS 商户)、国家地理锁及冻结开关——均可按卡编程,修改之间无冷却期。
无需身份验证,无需上传文件,无需自拍。卡片计划在我们的合规框架下运行——保护您的隐私是默认设置,而非企业升级选项。
卡片计划由一家在顶级司法管辖区持牌的 BIN 发卡机构担保。Cryptocardium 是技术层;卡片本身在受监管的通道上运行。
发卡合作方通过 PCI DSS Level 1 认证,每年接受审计。持卡人 PAN 从不以未加密形式接触 Cryptocardium 基础设施。
Cryptocardium 的运营控制措施已通过 SOC 2 Type II 审计,涵盖持续监控、变更管理及供应商审查。
所有流量均使用具备前向保密性的 TLS 1.3。旧版协议一律拒绝。cryptocardium.com 已预加载 HSTS。
多区域主主架构。卡片授权路径跨三个数据中心复制。授权中位延迟:47 ms。
Cryptocardium 设有漏洞赏金计划。通过协调披露渠道提交报告,我们将在 24 小时内进行分类处理。
提交标记为 security 的支持工单——我们将直接转交安全团队处理。
Everything people actually ask. Last updated .
是的。每笔授权均通过 3-D Secure 验证,通常以应用内确认的形式进行。不存在仅依赖静态 CVV 的降级通道。因此,无卡欺诈(CNP fraud)风险被降至接近零。
卡片余额由 Cryptocardium 的持牌发卡合作方保管于隔离账户,与运营资金严格分离。该发卡机构符合 PCI DSS Level 1 要求,并受 BIN 担保机构监管。资金不与 Cryptocardium 自身资产负债表混合。
密码使用工作因子 12 的 bcrypt 进行哈希(每次哈希约需 250 毫秒)。明文密码从不存储、从不记录、员工不可见。密码重置使用三十分钟内过期的单次令牌。
支持。兼容任何标准身份验证器的 TOTP(RFC 6238):Google Authenticator、Authy、1Password、Bitwarden、Aegis。验证码每三十秒轮换。禁用双重认证需提供当前密码及有效验证码。
是的。每个 Webhook 事件均使用每个订阅独立的密钥通过 HMAC-SHA256 签名。事件中包含幂等键,接收方可安全去重。签名密钥可随时轮换,无需停机。
可以。每张卡均支持可编程的 MCC 允许列表和拒绝列表(商户类别码)、限定特定国家的地理锁,以及单笔、每日和每月消费上限。所有设置均可通过一次 API 调用修改。
点击面板中的「冻结」按钮,或调用 POST /v1/cards/{id}/freeze(REST)或 freeze_card(MCP)。冻结立即生效,后续授权将在网络层面被拒绝。解冻操作同样对称简便。
协调披露流程记录于 https://cryptocardium.com/.well-known/security.txt(RFC 9116)。报告通过 /contact 的已认证工单系统提交,符合条件者可获得本页所述的漏洞赏金奖励。