Null Verwahrung
finqt hält niemals deine Coins, dein Bargeld oder deine Aktien. Deine Vermögenswerte bleiben dort, wo du sie platziert hast — an deiner Börse oder in deiner Self-Custody-Wallet.
Sicherheit
Sicherheit, die nicht darum bittet, dass du uns vertraust.
finqt kann dein Geld nicht bewegen — nicht einmal aus Versehen. Jede Designentscheidung, von API-Schlüsseln bis zur App-Sperre, beginnt mit derselben Regel: finqt ist ein Spiegel, keine Wallet.
Kernprinzipien
Vier Regeln, die wir nicht brechen.
Nur-Lese-Schlüssel
Jede Börsenverbindung verwendet API-Schlüssel mit reinen Leserechten. finqt kann keine Trades platzieren, nichts auszahlen, nichts bewegen.
Biometrische App-Sperre
Face ID, Touch ID oder eine 6-stellige PIN sperrt die ganze App. Leg dein Telefon weg und dein Portfolio ist in Sekunden wieder privat.
Ende-zu-Ende-Verschlüsselung
API-Schlüssel werden im iOS Keychain verschlüsselt gespeichert und von der Secure Enclave geschützt. Der gesamte Traffic läuft über TLS 1.3 mit Certificate Pinning.
Defense in Depth
Drei Schutzebenen,
für jede potenzielle Schwachstelle eine.
Die meisten Fintech-Breaches passieren an einem einzigen schwachen Glied. finqt härtet drei davon — Gerät, Netzwerk, Schlüssel — sodass ein Angriff auf eine Ebene nicht offenlegen kann, was die anderen schützen.
Auf dem Gerät
Dein Telefon ist die Eingangstür. Wir sperren sie mit denselben Primitiven, die Apple für Apple Pay nutzt.
- Face ID, Touch ID oder 6-stellige PIN zum Öffnen der App erforderlich
- Secure-Enclave-gestützter Keychain für jedes gespeicherte Credential
- Automatische Sperre nach Inaktivität — pro Nutzer konfigurierbar
Auf der Leitung
Jede Anfrage verlässt das Gerät über TLS 1.3. Nichts dazwischen kann sie lesen, und nichts kann unsere Server imitieren.
- TLS 1.3 mit Forward Secrecy auf jeder Verbindung
- Certificate Pinning blockiert MITM-Angriffe auf Socket-Ebene
- Keine Drittanbieter-Analytik im Request-Pfad
Für deine API-Schlüssel
Die Schlüssel, die finqt mit deinen Börsen verbinden, verlassen das Gerät nie im Klartext und können nie mehr als lesen.
- Nur-Lese-Scope wird bei jeder Anfrage validiert
- Schlüssel werden mit dem Hardware-Root des Geräts verschlüsselt
- Jeden Schlüssel mit einem Tap widerrufen — in finqt oder an der Börse
Gebaut für die Art, wie Regulatoren Fintech prüfen.
finqts Privacy- und Datenhaltungshaltung ist von Tag eins auf GDPR, Apples App-Store-Datentransparenzanforderungen und die Sicherheitsprimitive regulierter Finanz-Apps ausgerichtet.
- GDPR
- App Store Privacy
- iOS Keychain
- TLS 1.3
- SOC 2 in Arbeit
FAQ
Harte Fragen, klare Antworten.
Was ist das Schlimmste, was passieren kann, wenn finqt jemals kompromittiert wird?
Ein Angreifer würde sehen, was du besitzt — Salden, Positionen, vergangene Trades. Nichts bewegt sich. Keine Mittel können ausgezahlt, keine Trades platziert, keine Schlüssel gestohlen werden, die irgendwo Auszahlungszugriff gewähren. Das ist der gesamte Zweck der Nur-Lese-No-Custody-Architektur.
Was passiert, wenn ich mein Telefon verliere?
Face ID, Touch ID oder deine PIN schützt die App auf einem neuen Gerät — und du kannst deine API-Schlüssel in unter einer Minute über das Dashboard jeder Börse remote widerrufen. Weil finqt nie deine Assets hält, gefährdet der Verlust deines Telefons dein Portfolio nicht.
Ist finqt SOC 2 zertifiziert?
SOC 2 Type II steht auf unserer Roadmap. In der Zwischenzeit haben wir die technischen Kontrollen (Verschlüsselung at rest, TLS 1.3 in transit, Keychain-gestützte Speicherung, strenge Zugriffs-Audit-Logs) implementiert, die jedes SOC-2-Audit verlangen würde.
Habt ihr ein Bug-Bounty- oder Responsible-Disclosure-Programm?
Ja. Wenn du glaubst, eine Sicherheitslücke gefunden zu haben, schreib uns — wir antworten innerhalb von 48 Stunden. Wir erwähnen öffentlich Forscher, die valide Findings melden.
Wo ist finqt registriert und wie wirkt sich das auf meine Daten aus?
finqt LLC-FZ ist in der Meydan Free Zone in Dubai, VAE registriert. Unsere Datenverarbeitung ist darauf ausgelegt, GDPR-äquivalenten Schutz zu bieten, unabhängig davon, wo der Nutzer lebt. Die vollständige Aufschlüsselung findest du in unserer Datenschutzerklärung.
Responsible Disclosure
Etwas gefunden, was wir wissen sollten?
Schreib direkt unserem Security-Team. Wir lesen jeden Report, antworten innerhalb von 48 Stunden und erwähnen Forscher, die valide Findings melden.