As chaves privadas das carteiras são cifradas em repouso e nunca expostas — nem para você, nem para nós, em texto claro.
Autenticação com WebAuthn/FIDO2 e JWT. Acesse com a digital ou o rosto — sem senha para vazar.
Seus reais ficam em parceiros bancários (CorpX, GOWD) licenciados pelo Banco Central do Brasil.
Cada conta passa por verificação de identidade, com monitoramento contínuo contra fraude e lavagem de dinheiro.
Cada evento é assinado com HMAC-SHA256, e o app usa CSP baseado em nonce contra ataques XSS.
Todas as movimentações financeiras usam bloqueio de linha (SELECT FOR UPDATE) para impedir condições de corrida.
Levamos divulgação responsável a sério. Se você identificou uma vulnerabilidade, escreva para nossa equipe de segurança — reconhecemos pesquisadores que ajudam a proteger nossos usuários.
seguranca@otsempay.com