Zero custódia
O finqt nunca guarda suas moedas, dinheiro ou ações. Seus ativos ficam onde você os colocou — na sua exchange ou na sua carteira autocustodiada.
Segurança
Segurança que não pede para você confiar na gente.
O finqt não consegue mover seu dinheiro — nem por acidente. Cada decisão de design, das chaves de API ao bloqueio do app, parte da mesma regra: finqt é um espelho, não uma carteira.
Princípios fundamentais
Quatro regras que não quebramos.
Chaves somente leitura
Toda conexão com exchange usa chaves API somente leitura. O finqt não consegue operar, sacar ou mover nada.
Bloqueio biométrico
Face ID, Touch ID ou um PIN de 6 dígitos bloqueia o app inteiro. Afaste-se do celular e seu portfólio volta a ser privado em segundos.
Criptografia ponta a ponta
As chaves API são criptografadas em repouso no iOS Keychain, com suporte do Secure Enclave. Todo o tráfego passa por TLS 1.3 com certificate pinning.
Defesa em profundidade
Três camadas de proteção,
uma para cada ponto de falha.
A maioria dos vazamentos em fintech acontece em um único elo fraco. O finqt reforça três deles — dispositivo, rede e chaves — para que um comprometimento em qualquer camada não possa expor o que as outras protegem.
No dispositivo
Seu celular é a porta de entrada. Bloqueamos com as mesmas primitivas que a Apple usa no Apple Pay.
- Face ID, Touch ID ou PIN de 6 dígitos para abrir o app
- Keychain com suporte do Secure Enclave para cada credencial
- Bloqueio automático após inatividade — configurável por usuário
Na rede
Cada requisição sai do dispositivo por TLS 1.3. Nada entre os dois consegue ler, e nada consegue se passar pelos nossos servidores.
- TLS 1.3 com forward secrecy em toda conexão
- Certificate pinning bloqueia ataques MITM no nível de socket
- Sem analytics de terceiros no caminho da requisição
Para suas chaves API
As chaves que conectam o finqt às suas exchanges nunca saem do dispositivo em texto claro e nunca podem fazer nada além de ler.
- O escopo somente leitura é validado em cada requisição
- Chaves criptografadas com a raiz de hardware do dispositivo
- Revogue qualquer chave com um toque — no finqt ou na exchange
Construído para como os reguladores auditam fintech.
A postura de privacidade e manuseio de dados do finqt foi desenhada desde o primeiro dia para se alinhar com a LGPD/GDPR, os requisitos de transparência de dados da App Store da Apple e as primitivas de segurança esperadas de apps financeiros regulados.
- GDPR
- Privacidade App Store
- iOS Keychain
- TLS 1.3
- SOC 2 em andamento
FAQ
Perguntas difíceis, respostas diretas.
O que de pior pode acontecer se o finqt for comprometido?
Um atacante veria o que você tem — saldos, posições, operações passadas. Nada se move. Nenhum fundo pode ser sacado, nenhuma operação aberta, nenhuma chave roubada que dê acesso de saque em lugar nenhum. Esse é o propósito inteiro da arquitetura somente leitura e sem custódia.
O que acontece se eu perder meu celular?
Face ID, Touch ID ou seu PIN protegem o app em um novo dispositivo — e você pode revogar remotamente suas chaves API no painel de cada exchange em menos de um minuto. Como o finqt nunca guarda seus ativos, perder o celular não coloca seu portfólio em risco.
O finqt é certificado SOC 2?
SOC 2 Type II está no nosso roadmap. Enquanto isso, já construímos os controles técnicos (criptografia em repouso, TLS 1.3 em trânsito, armazenamento no Keychain, logs rigorosos de auditoria de acesso) que qualquer auditoria SOC 2 exigiria.
Vocês têm um programa de bug bounty ou divulgação responsável?
Sim. Se você acha que encontrou um problema de segurança, nos envie um e-mail — respondemos em 48 horas. Damos crédito público aos pesquisadores que reportam achados válidos.
Onde o finqt é registrado e como isso afeta meus dados?
A finqt LLC-FZ é registrada na Meydan Free Zone, em Dubai, EAU. Nosso processamento é projetado para cumprir proteções equivalentes ao GDPR independente de onde o usuário mora. Veja nossa política de privacidade para o detalhamento completo.
Divulgação responsável
Encontrou algo que deveríamos saber?
Envie um e-mail direto ao nosso time de segurança. Lemos cada report, respondemos em 48 horas e damos crédito aos pesquisadores que reportam achados válidos.