Cero custodia
finqt nunca guarda tus monedas, efectivo ni acciones. Tus activos permanecen donde los pusiste — en tu exchange o en tu billetera de auto-custodia.
Seguridad
Seguridad que no te pide que confíes en nosotros.
finqt no puede mover tu dinero — ni siquiera por accidente. Cada decisión de diseño, desde las claves API hasta el bloqueo de la app, parte de la misma regla: finqt es un espejo, no una billetera.
Principios fundamentales
Cuatro reglas que no rompemos.
Claves de solo lectura
Cada conexión de exchange usa claves API con permisos de solo lectura. finqt no puede operar, no puede retirar, no puede mover nada.
Bloqueo biométrico
Face ID, Touch ID o un PIN de 6 dígitos bloquea toda la app. Si te alejas de tu teléfono, tu cartera vuelve a ser privada en segundos.
Cifrado de extremo a extremo
Las claves API se cifran en reposo en el iOS Keychain, respaldado por el Secure Enclave. Todo el tráfico va por TLS 1.3 con certificate pinning.
Defensa en profundidad
Tres capas de protección,
una para cada punto de falla.
La mayoría de los ataques a fintech ocurren en un único eslabón débil. finqt endurece tres de ellos — dispositivo, red y claves — para que un compromiso en una capa no pueda filtrar lo que las otras protegen.
En el dispositivo
Tu teléfono es la puerta de entrada. La cerramos con los mismos primitivos que Apple usa para Apple Pay.
- Face ID, Touch ID o PIN de 6 dígitos para abrir la app
- Keychain respaldado por Secure Enclave para cada credencial
- Bloqueo automático tras inactividad — configurable por usuario
En tránsito
Cada petición sale del dispositivo por TLS 1.3. Nada intermedio puede leerla, y nada puede suplantar a nuestros servidores.
- TLS 1.3 con forward secrecy en cada conexión
- Certificate pinning bloquea ataques MITM a nivel socket
- Sin analíticas de terceros en la ruta de petición
Para tus claves API
Las claves que conectan finqt con tus exchanges nunca salen del dispositivo en texto plano y nunca pueden hacer más que leer.
- El alcance de solo lectura se valida en cada petición
- Claves cifradas con la raíz de hardware del dispositivo
- Revoca cualquier clave con un toque — desde finqt o desde el exchange
Construido para cómo los reguladores auditan fintech.
La postura de privacidad y manejo de datos de finqt fue diseñada desde el día uno para alinearse con GDPR, los requisitos de transparencia de datos de la App Store de Apple y los primitivos de seguridad que se esperan de las apps financieras reguladas.
- GDPR
- Privacidad App Store
- iOS Keychain
- TLS 1.3
- SOC 2 en proceso
FAQ
Preguntas difíciles, respuestas directas.
¿Qué es lo peor que puede pasar si alguna vez atacan a finqt?
Un atacante vería lo que tienes — saldos, posiciones, operaciones pasadas. Nada se mueve. No se pueden retirar fondos, no se pueden abrir operaciones, no se pueden robar claves que den acceso de retiro en ningún lugar. Ese es el propósito de la arquitectura de solo lectura y sin custodia.
¿Qué pasa si pierdo mi teléfono?
Face ID, Touch ID o tu PIN protegen la app en un nuevo dispositivo — y puedes revocar remotamente tus claves API desde el panel de cada exchange en menos de un minuto. Como finqt nunca guarda tus activos, perder tu teléfono no pone en riesgo tu cartera.
¿finqt tiene certificación SOC 2?
SOC 2 Type II está en nuestra hoja de ruta. Mientras tanto, ya tenemos los controles técnicos (cifrado en reposo, TLS 1.3 en tránsito, almacenamiento en Keychain, logs estrictos de auditoría de acceso) que cualquier auditoría SOC 2 requeriría.
¿Tienen un programa de bug bounty o divulgación responsable?
Sí. Si crees haber encontrado un problema de seguridad, escríbenos — respondemos en 48 horas. Damos crédito público a los investigadores que reportan hallazgos válidos.
¿Dónde está registrada finqt y cómo afecta eso a mis datos?
finqt LLC-FZ está registrada en la Zona Franca Meydan, Dubái, EAU. Nuestro procesamiento está diseñado para cumplir protecciones equivalentes al GDPR sin importar dónde vivan los usuarios. Consulta nuestra política de privacidad para el desglose completo.
Divulgación responsable
¿Encontraste algo que deberíamos saber?
Escribe directamente a nuestro equipo de seguridad. Leemos cada reporte, respondemos en 48 horas y damos crédito a los investigadores que reportan hallazgos válidos.